sinteza retele de calculatoare

75
Page 1 Introducere Definitii Retea de calculatoare = echipamente informatice + canal de comunicatie; Echipamentul informatic este caracterizat prin: -capacitatea de stocare -capacitatea de prelucrare -capacitatea de comutare(eventual) Canalul de comunicatie este mediul de transmisie a informatiei: -cablu coaxial; -cablu torsadat; -fibra optica; -unde radio; -sateliti de comunicare; Retea de calculatoare: o colectie de calc autonome interconectate printr-o retea de comunicatie; Retea de comunicatie: un set de echipamente prin care seasigura transf de date; Sistem distribuit: colectia de calc independente care apare utilizatorilor sai ca un sistem coerent Retea de calculatare: un ansablu de calculatoare conectate intre ele si capabile sa partajeze resursele:fizice,logice,informationale; fizice: discuri,imprimante, scanere; logice: progr de sist sau apl; inform: baze de date, fisiere Avantaje si dezavantaje AVANTAJE: Retele de calc rezolva probl legate de: -achizitia info; -stocare info; -prelucr info; -distributia info; RC asigura:

Upload: dana-raluca-raileanu

Post on 29-Dec-2015

121 views

Category:

Documents


11 download

DESCRIPTION

Retele de calculatoare- disciplina explicata pe scurt

TRANSCRIPT

Page 1: Sinteza retele de calculatoare

Page1

Introducere

Definitii

Retea de calculatoare = echipamente informatice + canal de comunicatieEchipamentul informatic este caracterizat prin-capacitatea de stocare-capacitatea de prelucrare-capacitatea de comutare(eventual)Canalul de comunicatie este mediul de transmisie a informatiei-cablu coaxial-cablu torsadat-fibra optica-unde radio-sateliti de comunicareRetea de calculatoare o colectie de calc autonome interconectate printr-o retea de

comunicatieRetea de comunicatie un set de echipamente prin care seasigura transf de dateSistem distribuit colectia de calc independente care apare utilizatorilor sai ca un sistem

coerentRetea de calculatare un ansablu de calculatoare conectate intre ele si capabile sa partajeze

resurselefizicelogiceinformationalefizice discuriimprimante scanerelogice progr de sist sau aplinform baze de date fisiere

Avantaje si dezavantaje

AVANTAJERetele de calc rezolva probl legate de-achizitia info-stocare info-prelucr info-distributia infoRC asigura-partajarea resurselor fizice(imprimante scanneere) logice (programe de system aplicatii) si

informationale (BD fisiere)-mediu de comunicare rapida(posta electronic videoconf)-mediu de lucru colaborativ (man doc)-acces la internet-imbunatatirea performantelor (fiabilitatea utiliz resurselor timp de raspuns)-posibilitatea de trecere a timpului liber (jocuri ghiduri turistice)-securitatea si managementul datelorDEZAVANTAJE1costurile pt hard si soft2costurile de administratie adm sistemdepartament pt administratie a retelei

Page2

3partajari nedorite(virusi) diminuarea sau eliminarea necesita costuri4comportamentul ilegal sau nedorit abuzul asupra res companieidescarcarea de materiale

in mod ilegalpiratare de soft5preocuparea pentru securitaea retelelor si datelor hackeriacces neautorizat etc

Clasificare

Dupa distanta-locale lan sau wlan-metropolitane man = metropolitan area network-retele de zone intinse wan = wide area networkLAN-dist dintre calc nu depaseste cativa km-conectarea se real prin diferite suporturi(cablu coaxialfibra optica etc)-debitul se masoara in MBsec sau GBsec-mecanismele de securitate sunt reduseComponentele unei retele locale de domiciliu-calculatoare-ehipamente pt divertisment(tvdvdelte echip videoaudio)-dispozitive pt comunicatie-aparatura casnica-dispozitive de supraveghere si controlMAN o interconectare a mai multor retele LAN distribuite pe o zona a unei localitati sau

chiar la nivelul intregii localitati-viteza mare de transmisie-retea privata sau publica-include diverse tehnici de conectare si comunicatie-sunt prevazute mecanisme de securitate-asigura leg catre retele de tip WANWAN-acopera o tara continent sau chiar mai multe continente-leg dintre doua statii poate utiliza ca suport de comunicatie reteaua telefonica undele radi

sau sateliti-debitul obtinut depinde de suportul utilizat-mecanismele de securitate sunt complexeINTERNETretea de retele(-gtintranetretea locala in care se util tehnologia Internet) Dupa metode de adresare si transmisie a mesjelor1Unicast transmisie cu un singur destinatar mesajele sunt trans de la un dispozitiv la altul2Broadcast transmisie catre mai multi destinatari mesaj difuzat tuturor statiilor3Multicast transmisia se face catre mai multi destinatari mesajul este difuzat unui grup de

statiiDupa tehnologia de comunicatie1tipul semnalului de transmisie

Page3

-comunicatie analogic semnalul analogic prin care se masoara informatia este o marime fizica ce variaza continuu de exemplu tensiunea

-comunicarea digitala inform este repr printr-o marime fizica cu stari discrete un semnala digital(ex2 nivele de tens)

2Tipul subretelei-fara comutare punt-la-punctmultipunct-cu comutarecomutare de circuitecomutare logica(comutare de mesajecomutare prin

pachetecomutare de celule)Subreteaua de comunicatie cu comutare logica(Store-and-Forward) include procesoare

intermediare (routers gateways switches etc) pt stocarea si transmiterea blocurilo de dateIcircn comutarea logică fiecare bloc de date este recepţionat icircn icircntregime verificat dacă are erori şi retransmis către

destinaţieComutarea logică necesită spaţiu de stocare şi un timp detransmisie pentru fiecare nod intermediarComutare de mesaje blocul de date care transfera este un mesaj completComutare de pachete bl de date care se trabsfera are o dimensiune variabila este un pachet

ndash mesajul este fragmentatComutare de celule unitatea de transf este un bl de date de dimens fixa(o celula) Retele

ATM util cel de 53 de octetiDupa topologieTopologia fizicadescrie modul in care sunt conectate calcStabilirea clsei este vaab pt lan-uriaspecte-tipul canalului de transmisie punct-la-punct sau multipunct-interconectarea ndurilor reteleisimetricnesimetricaClase topologice-magistrala(bus)cablu principal are atasat la cele doua capete cate un terminator Toate

nodurile sunt conectate la cablu Retelele Ethernet si LocalTalk util topologia busAvantajeconevctareusoracoturi scazute mai putin cablu ca steaDezavantajedaca se intrerupe cablu ret se dezactiveaza necesita terminatori la ambele

cabluri dificil de identificat cauza care duce la caderea intregii retele-steafiecare dispozitiv al retelei va fi conectat direct la hub au concentrator central care

administreaza si controleaza toate functiile din reteaAvantajeusor de instalat si cablat nu este afectata functionarea retelei la conectarea sau

deconectarea unui dipozitiv este usor de identificat echipament defect si deconectatDezavantaje necesita mia mult cablu daca hub-ulconcentratorul se defecteaza nodurile

atasate sunt dezactivatemai scumpe decat la bus dat costurilor pt concentrator-inel fiecare calc este conectat la alte doua calc retele FDDI Avantaje si dezavantaje ca la

bus-arbore combina carac bus cu stea Permit extinderea unei retele existenteAvantaje este suportata de multe din prod de retea hard si soft cablarea punt-la-punct a seg

individualeDezavantajelungimea fiecarui seg este limitata prin tipul cablului d=folosit daca magistrala

principala(backbone) se defecteaza cade toata reteaua mai dificil de configurat-plasa total conectata(mesh)fiecare host comunica direct cu toate celelalte host-uri din retea

Page4

-celulararetele wireless(tel mobila) Topologia celulară se bazează pe tehnica reutilizării frecvenţei - optimizează folosirea

spectrului limitat al frecvenţelor radio Icircn reţelele celulare suprafaţa acoperită de o staţie de baza (de exemplu o antenă) este

relativ redusăCelulele adiacente folosesc frecvenţe diferite pentru a evita interferenţele o aceeaşi

frecvenţă poate fi refolosită icircn celulele care nu sunt icircn vecinătateTopologia logica descrie modul in care informatiile se transmit in cadrul retelei prin

topologia fizica Sunt sit in care top logica nu coresp cu cea fizica In terminologia CSISSP se refera la metoda de acces la retea Metodele de acces frecvent utiliztae au ca obictiv partajarea canalului de comunicatie utilizarea teken-ului

Componente de retea

Hardware-calcserverclient-echipamente periferice-placile cu intrefata de retea-alte echipamentetransceiver repetor hub bridge comutator(switch) routerServer calc care are capacitatea sa raspunda oricand cererilor pe care le primeste din partea

clientilor Calc rpid care detine o mare capac de stocare iar accesul se face printr-o interfata de retea de mare viteza Pot exista mai multe servere

Tipuri de servere-file serversstocarea datelor si fisierelor Fis se pastreaza pe calc gazda si aplicatia se

executa pe calc client-alte tiparirefaxmailwebaplicatii BD baze de comunicatie etcPlaca de interfata cu reteaua realizeaza unele servicii din serviciile de comunicare pentru un

calc conectat la o retea Comunica printr-o conexiune seriala cu reteaua si printr-o conexiune paralela cu sist de calcul fiind dotata cu LED-uri care ofera o serie de inform despre starea conexiunii la retea si a placii

Cardul PCMCIA este o placa de dimensiunea unui acrd de credit utilizata in cea mai mare parte pt calc portabile si mai putin pt calc obisnuite

Alegerea unei placi de retea are in vedere-tehnologia de retea-tipul canalului de comunicatie-tipul slot-ului de extensieConexiunea retea-placa de retea se realizeaza prin conectoriminus BNC (Bayonet Neill Concelman) - pentru cablu coaxialminus RJ-45 (Registered Jack-45) - pentru cablu UTP (Unshielded Twisted Pair) sau STP(Shielded Twisted Pair) sau RJ-11 minus MT-RJ (Mechanical Transfer-Registered Jack) - pentru fibră optică monomod sau

multimodTransceiverul dispozitiv care receptioneaza si transmite semnaleRepetorul dispozitiv care regenereaza semnalul

Page5

Hub repetor multiportBridge dispozitiv care conecteaza retele ce utilizeaza aceleasi protocoale de comunicatieRouter dispozitiv intermediar care se ocupa de livrarea mesajelorComutator(switch) dispozitiv capabil sa retransmita pachetele direct porturilor asociate cu

anumite adrese de reteaSotware-SO in retea (NOS) coordoneaza activitatile calc dintr-o reteaper-to-peer sau clientserverPeer-to-peer-sunt generate de dimeniuni mici si pretenti prea mari de securitate-se bazeaza pe partajarea resurselor g=hard si soft-este usor de instalat si administrat-nu necesita severe dedicate-exempleAppleShareWindows for WorkgroupsClientServe-so permit concentrarea functiilor si palicatiilor in unul sau mai multe servere de fis dedicate-serv de fisiere deine centrul sistemului oferind accesul la resurse in concordanta cu politica

de securitate-exempleNovell Netware si Windows 2000 ServerPrograme de retea se impart in programe cleint si programe serverAdvantajele reţelelor clientserverndash centralizare ndash securitatea resurselor şi datelor sunt controlate prin serverndash scalabilitate ndash unul sau mai multe elemente pot fi icircnlocuite icircn modindividual pentru a răspunde cererilor de performanţă tot mai marindash flexibilitate - noile tehnologii pot fi uşor integrare icircn sistemndash interoperabilitate - toate componentele (clientreţeaserver) lucreazăicircmpreunăndash accesibilitate - serverul poate fi accesat de la distanţă şi de pe platformemultipleDezavantajele reţelelor clientserverndash scumpe ndash necesită o investiţie iniţială icircntr-un server dedicatndash icircntreţinere ndash reţelele mari necesită personal pentru operarendash dependenţă ndash cacircnd un server nu mai este operaţional activităţile din reţeavor icircnceta

Arhitectura comunicatiei

Notiuni generale

Comunicaţia icircntre aplicaţii a cunoscut icircn mod succesivurmătoarele formendash schimbul - aplicaţiile de pe sisteme diferite icircşi transmit informaţii (icircngeneral schimb de

fişiere)ndash partajarea - resursele sunt accesibile icircn mod direct de pe mai multemaşini (partajarea

fişierelor imprimantei)

Page6

ndash cooperarea - procesele de pe maşini diferite au roluri complementare icircn realizarea unei aplicaţii

Un sistem de comunicaţie icircn reţea includendash sursa ndash generează datele care vor fi transmisendash transmiţătorul ndash converteşte datele icircn semnale transmisibilendash sistemul de transmisie ndash transportă datelendash receptorul ndash converteşte semnalele recepţionate icircn datendash destinatarul ndash preia datele sositePrincipale sarcini ale sistemului de comunicaţiebull Utilizarea sistemului de transmisiebull Adaptarea la specificul interfeţelorbull Generarea semnaluluibull Sincronizareabull Detectarea şi corectarea erorilorbull Adresarea şi rutareabull Recuperareabull Formatarea mesajelorbull Securitateabull Managementul reţelei de comunicaţieTermeni utilizaţibull stratul sau nivelul reuneşte un ansamblu de activităţi cooperantebull activitatea este un ansamblu coerent de acţiuni elementare pentru icircndeplinirea unui

obiectivbull acţiunile elementare sunt realizate local prin entităţi fizice sau logicebull serviciul spune ce face un nivelbull entităţile din nivelurile adiacente interacţionează prin interfaţăinterfaţa defineşte cum sunt accesate serviciile pe care un nivel le oferă nivelului superiorbull protocol-k ansamblul de convenţii stabilite pentru ca un nivel k de pe o maşină să poată

coopera cu nivelul k de pe o altă maşină icircn realizarea unei activităţibull protocolul oferă informaţii cum este implementat un serviciubull protocolul defineşte formatul ordinea de emitere şi recepţionare amesajelor icircntre entităţile din reţea şi acţiunile care se pot executaasupra mesajului la emisierecepţiebull arhitectura de reţea ansamblul de niveluri şi protocoaleProtocolul este un acord icircntre două sau mai multe entităţi care comunicăCele mai utilizate protocoale de comunicaţie icircn reţea suntminus TCPIP - set de reguli pentru comunicarea icircn reţelele mari TCPIP este inclus icircnWindows 9x Windows ME Windows NT Windows 2000 şi Windows XPComunicaţia icircn Internet necesită TCPIPminus NWLINK IPXSPX (NetWare LINK Internetwork Packet ExchangeSequence Packet

Exchange) - implementarea Microsoft pentru protocoalele IPXSPX de la Novell NWLink se regăseşte icircn Windows NT2000 şi Windows 9x permite clienţilor Windows să acceseze servere NetWare şi clienţilor NetWare să acceseze servere Windows NT2000

Page7

minus NETBEUINetBIOS (NetBIOS Extended User InterfaceNetwork Basic InputOutput System) - NetBIOS NetBEUI protocoale Microsoft

Prin protocol se specificăminus formatul mesajelorminus semnificaţia mesajelorminus reguli de comunicareminus proceduri pentru diverse situaţiibull Un protocol se poate dezvolta prin utilizareaminus diagramelor spaţiu-timpminus diagramelor de tranzacţiibull Descrierea formală a unui protocol de comunicaţie se poate realiza prinminus automatele cu stări finiteminus reţelele PetriSarcinile de comunicaţie pot fi distribuite icircn mai multe modulebull De exemplu transferul de fişiere ar putea utiliza trei module aplicaţia de transfer fişiere serviciul de comunicaţie accesul la reţeaIcircn acest caz modelul conceptual poate fi organizat pe trei niveluri nivel acces la reţea1048633 schimbă datele icircntre calculator şi reţea1048633 furnizează adresa destinaţiei1048633 poate invoca o anumită calitate a serviciului1048633 depinde de tipul reţelei utilizate nivel transport1048633 fiabilitatea datelor transmise1048633 să nu depindă de reţeaua utilizată sau de aplicaţie nivel aplicaţie suport pentru diferite aplicaţii utilizatorbull Cerinţele de adresare acţionează pentru identificarea unui calculator icircn reţea identificarea fiecărei aplicaţii pe un calculator multi-taskingNivelurile pot oferi servicii-orievtate pe conexiune-fara conexiunePrimitivele de serviciu pentru implementarea unui serviciu orientat pe conexiunebull listenbull connectbull receivebull sendbull disconnect

Principiile conceptiei pe niveluri

Principiile conceptiei pe niveluri

Page8

bull un nivel trebuie creat atunci cacircnd un nou nivel de abstractizare este necesarbull fiecare nivel execută o funcţie bine definităbull funcţiile fiecărui nivel trebuie alese prin prisma definirii protocoalelor normalizate

internaţionalbull alegerea frontierelor icircntre niveluri trebuie să minimizeze fluxul de informaţie al

interfeţelorbull numărul de niveluri trebuie să fie suficient de mare pentru a evita coabitarea icircn acelaşi

nivel a funcţiilor foarte diferite şi suficient de mic pentru a evita ca arhitectura să devină dificil de administratModele de referinte OSI-ISO SI TCP-IP

MODELUL DE REFERINTA OSIISO

OSI = Open System InterconnectionISO = International Standards OrganizationNivelul fizic pp gestiunea si exploatarea suporturilor fizice de comunicatie ndash interfete mecanice si electrice

proceduri de receptive si emisie a informatiei binare adaptarea semnalelor la support etcExemplificarea conceptelor- Serviciu schimbul de info intre 2 sisteme conectate printr-o leg fizica- Interfata specifica modul de transmitere a unui bit- Protocol utilizarea schemei de codificare pt reprezentarea unui bit nivel de tensiune durata unui bitNivelul legatura de date genereaza cadrele ce vor fi transmise prin niv fizic asigura detectia si corectia erorilor

de transmisie Exemplificarea conceptelor- Serviciu construirea cadrelor emiterea cadrelor de date alte servicii optionale arbitrarea accesului la

canalul de comunicatie controlul fluxului asigurarea fiabilitatii transmisiei- Interfata emiterea unei unitati de datela o masina conectata la acelasi mediu fizic- Protocol adresarea nivelului implementarea controlului pt accesul la mediu fizicNivelul retea controleaza operatiile din subretea (directioneaza info in traversarea retelei sau retelelor are

capacitatea sa stabileasca sis a intrerupa comunicatii)Nivelul transport accepta datele de la nivelul superior le fragmenteaza in unitati de date care vor fi transmise

nivelului retea controleaza transferul de date punct-la-punct in traversarea reteleiNivelul sesiune realizeaza functiile care sunt necesare ca support al dialogului dintre procese cum ar fi

initializarea sincronizarea si terminarea dialoguluiNivelul prezentare defineste semantic si sintaxa datelor care se vor schimbaNivelul aplicatie ofera utilizatorului serviciile defineste mecanisme si protocoale specific tipurilor de aplicatii

posta electronic transferul de fisiere serviciu web etc

MODELUL DE REFERINTA TCPIP

TCP = Transmission Control ProtocolIP = Internet ProtocolNivelul Acces la retea permit transmiterea datelor catre alte masini conectate la retea protocolul utilizat depinde

de tipul retelei X25 X21 IEEE 802x etcNivelul Internet permite interconectarea reteleor in vederea asigurarii schimbului de date intre 2 statii racordate la

retele diferite Protocolul Internet (IP) este cel mai semnificativ protocaol al acestui nivelNivelul transport transporta datele punct-la-punct intre procesele utilizatoare Principalele protocoale folosite

TCP si UDP (User Datagram Protocol)Nivelul Aplicatie contine protocoale suportate de diferitele aplicatii O aplicatie este un proces utilizator care

coopereaza cu un alt proces de pe aceeasi statie sau de pe alta statie Dintre protocoalele nivelului aplicatie amintim TELNET FTP DNS SMTP SNMP HTTP etcNivelul aplicatie

Page9

Protocoale ale nivelului aplicatie

Protocoale ale nivelului de aplicatie sunt aplicaţii scrise de utilizator sau aplicaţii standardizate şi distribuite cu produsele TCPIP De

exempluminus TELNET (Network Terminal Protocol)minus FTP (File Transfer Protocol)minus SMTP (Simple Mail Transfer Protocol)minus DNS (Domain Name Service)minus SNMP (Simple Network Management Protocol)minus HTTP (HiperText Transport Protocol)utilizează UDP (User Datagram Protocol) sau TCP (Transmission Control Protocol) pentru transport majoritatea folosesc modelul clientserver pentru interacţiune

Servicii Internet

Servicii internetminus poşta electronicăminus transferul de fişiere (FTP)minus acces la calculatoarele de la distantă (Telnet SSH)minus distribuirea informaţiei icircn timp real (Chat Web)minus World Wide Web (WWW) - afişarea multimedia oportunităţi de afaceritransmisia rapidă a informaţiei icircntre calculatoareMetode de acces la Internetbull Prin cablundash ISDN (Integrated Services Digital Network) - utilizează liniile telefonice existente

standard internaţional de comunicaţie pentru transmiterea simultană de voce date şi imagine prin intermediul liniei de telefonie digitală ISDN suportă rate de transfer de 64 kbps pe un singur canal

ndash xDSL (Digital Subscriber Line) - utilizează liniile telefonice existente fiind similar cu ISDN integrează serviciile telefonice obişnuite şi accesul la Internet prin utilizarea unui modem xDSL xemple de tehnologii xDSL ADSL(Asymmetric DSL) SDSL (Symmetric DSL) HDSL (High-data-rate DSL) VDSL (Very high DSL) etc

ndash Dial-Up - utilizează un modem şi o linie telefonică standard viteza maximă de transfer este de 56 Kbps

minus Modemul pentru cablu - un tip de modem care oferă accesul la Internet prin infrastructura televiziunii prin cablu (CATV) Cei care au televiziune princablu se pot conecta la Internet avacircnd o conexiune de mare viteză

Modemurile de cablu concurează cu tehnologiile xDSLFără cabluminus Wi-Fi - tehnologie folosită pentru reţele WLAN (Wireless Local Area Network) şi care are

la bază standarde din familia IEEE 80211 Reţelele Wi-Fi operează icircn benzile radio de 24 şi 5GHz avacircnd rate de transfer a datelor cuprinse icircntre 11 şi 54 Mbps icircn funcţie de standardele folosite Prin Wi-Fi o aceeaşi conexiune la Internet poate fi folosită de mai multe dispozitive

Page10

minus WiMax este un standard dezvoltat de IEEE (80216) care permite conexiuni wireless pe o rază de pacircnă la 50 km şi lăţimi de bandă de pacircnă la 70Mbps WiMax oferă o alternativă wireless la ccesul standard icircn bandă largă reducacircnd costurile de implementare icircn zone fără infrastructuri existente

minus Bluetooth - tehnologia este utilizată icircntr-o reţea WPAN (Wireless Personal Area Network) şi are o rază mică de acţiune

POSTA ELECTRONICA

Posta electronicabull agentul utilizator (Mail User Agent - MUA) permite compunerea mesajelor care se

expediază citirea mesajelor recepţionate etc - reprezintă interfaţa cu utilizatorulbull agentul de transport (Mail Transport Agent - MTA) asigură transportul corespondenţei la

distanţăbull agent de predare locală (Local Delivery Agent - LDA) asigură transportul corespondenţei

localeFunctiile generale-compunerea-transferul-afisarea-dipozitiacitireastergereasalvareaprocesarea etc(destinatar)Mesajul-antet cu formatul-linie goala-corpul mesajuluiMIME (Multipurpose Internet Mail Extensions) prin RFC 2045-2049 oferăfacilităţi pentruminus includerea multiplelor obiecte icircntr-un singur mesajminus reprezentarea textelor şi cu alte seturi de caractere decacirct ASCII SUAminus includerea imaginilor sau fragmentelor audio icircn mesajProduse soft cu rol de agent utilizator pt e-mail-oulook express-pegasus-eudoraProtocoale utilizate in serviciul de posta electronicabull SMTP (Simple Mail Transfer Protocol) RFC 2821 defineşte protocolul de comunicaţie

pentru transferul mesajele de poştă electronicăbull Utilizează TCPbull Comenzile şi răspunsurile sunt codificate icircn ASCIIProtocoale utilizate icircn serviciul de poştă electronică pentruaccesul clientului (livrarea finală a mesajelor)minus POP3 (Post Office Protocol)minus IMAP (Interactive Mail Access Protocol)Protocoalele oferă aceleaşi funcţii de bază

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 2: Sinteza retele de calculatoare

Page2

3partajari nedorite(virusi) diminuarea sau eliminarea necesita costuri4comportamentul ilegal sau nedorit abuzul asupra res companieidescarcarea de materiale

in mod ilegalpiratare de soft5preocuparea pentru securitaea retelelor si datelor hackeriacces neautorizat etc

Clasificare

Dupa distanta-locale lan sau wlan-metropolitane man = metropolitan area network-retele de zone intinse wan = wide area networkLAN-dist dintre calc nu depaseste cativa km-conectarea se real prin diferite suporturi(cablu coaxialfibra optica etc)-debitul se masoara in MBsec sau GBsec-mecanismele de securitate sunt reduseComponentele unei retele locale de domiciliu-calculatoare-ehipamente pt divertisment(tvdvdelte echip videoaudio)-dispozitive pt comunicatie-aparatura casnica-dispozitive de supraveghere si controlMAN o interconectare a mai multor retele LAN distribuite pe o zona a unei localitati sau

chiar la nivelul intregii localitati-viteza mare de transmisie-retea privata sau publica-include diverse tehnici de conectare si comunicatie-sunt prevazute mecanisme de securitate-asigura leg catre retele de tip WANWAN-acopera o tara continent sau chiar mai multe continente-leg dintre doua statii poate utiliza ca suport de comunicatie reteaua telefonica undele radi

sau sateliti-debitul obtinut depinde de suportul utilizat-mecanismele de securitate sunt complexeINTERNETretea de retele(-gtintranetretea locala in care se util tehnologia Internet) Dupa metode de adresare si transmisie a mesjelor1Unicast transmisie cu un singur destinatar mesajele sunt trans de la un dispozitiv la altul2Broadcast transmisie catre mai multi destinatari mesaj difuzat tuturor statiilor3Multicast transmisia se face catre mai multi destinatari mesajul este difuzat unui grup de

statiiDupa tehnologia de comunicatie1tipul semnalului de transmisie

Page3

-comunicatie analogic semnalul analogic prin care se masoara informatia este o marime fizica ce variaza continuu de exemplu tensiunea

-comunicarea digitala inform este repr printr-o marime fizica cu stari discrete un semnala digital(ex2 nivele de tens)

2Tipul subretelei-fara comutare punt-la-punctmultipunct-cu comutarecomutare de circuitecomutare logica(comutare de mesajecomutare prin

pachetecomutare de celule)Subreteaua de comunicatie cu comutare logica(Store-and-Forward) include procesoare

intermediare (routers gateways switches etc) pt stocarea si transmiterea blocurilo de dateIcircn comutarea logică fiecare bloc de date este recepţionat icircn icircntregime verificat dacă are erori şi retransmis către

destinaţieComutarea logică necesită spaţiu de stocare şi un timp detransmisie pentru fiecare nod intermediarComutare de mesaje blocul de date care transfera este un mesaj completComutare de pachete bl de date care se trabsfera are o dimensiune variabila este un pachet

ndash mesajul este fragmentatComutare de celule unitatea de transf este un bl de date de dimens fixa(o celula) Retele

ATM util cel de 53 de octetiDupa topologieTopologia fizicadescrie modul in care sunt conectate calcStabilirea clsei este vaab pt lan-uriaspecte-tipul canalului de transmisie punct-la-punct sau multipunct-interconectarea ndurilor reteleisimetricnesimetricaClase topologice-magistrala(bus)cablu principal are atasat la cele doua capete cate un terminator Toate

nodurile sunt conectate la cablu Retelele Ethernet si LocalTalk util topologia busAvantajeconevctareusoracoturi scazute mai putin cablu ca steaDezavantajedaca se intrerupe cablu ret se dezactiveaza necesita terminatori la ambele

cabluri dificil de identificat cauza care duce la caderea intregii retele-steafiecare dispozitiv al retelei va fi conectat direct la hub au concentrator central care

administreaza si controleaza toate functiile din reteaAvantajeusor de instalat si cablat nu este afectata functionarea retelei la conectarea sau

deconectarea unui dipozitiv este usor de identificat echipament defect si deconectatDezavantaje necesita mia mult cablu daca hub-ulconcentratorul se defecteaza nodurile

atasate sunt dezactivatemai scumpe decat la bus dat costurilor pt concentrator-inel fiecare calc este conectat la alte doua calc retele FDDI Avantaje si dezavantaje ca la

bus-arbore combina carac bus cu stea Permit extinderea unei retele existenteAvantaje este suportata de multe din prod de retea hard si soft cablarea punt-la-punct a seg

individualeDezavantajelungimea fiecarui seg este limitata prin tipul cablului d=folosit daca magistrala

principala(backbone) se defecteaza cade toata reteaua mai dificil de configurat-plasa total conectata(mesh)fiecare host comunica direct cu toate celelalte host-uri din retea

Page4

-celulararetele wireless(tel mobila) Topologia celulară se bazează pe tehnica reutilizării frecvenţei - optimizează folosirea

spectrului limitat al frecvenţelor radio Icircn reţelele celulare suprafaţa acoperită de o staţie de baza (de exemplu o antenă) este

relativ redusăCelulele adiacente folosesc frecvenţe diferite pentru a evita interferenţele o aceeaşi

frecvenţă poate fi refolosită icircn celulele care nu sunt icircn vecinătateTopologia logica descrie modul in care informatiile se transmit in cadrul retelei prin

topologia fizica Sunt sit in care top logica nu coresp cu cea fizica In terminologia CSISSP se refera la metoda de acces la retea Metodele de acces frecvent utiliztae au ca obictiv partajarea canalului de comunicatie utilizarea teken-ului

Componente de retea

Hardware-calcserverclient-echipamente periferice-placile cu intrefata de retea-alte echipamentetransceiver repetor hub bridge comutator(switch) routerServer calc care are capacitatea sa raspunda oricand cererilor pe care le primeste din partea

clientilor Calc rpid care detine o mare capac de stocare iar accesul se face printr-o interfata de retea de mare viteza Pot exista mai multe servere

Tipuri de servere-file serversstocarea datelor si fisierelor Fis se pastreaza pe calc gazda si aplicatia se

executa pe calc client-alte tiparirefaxmailwebaplicatii BD baze de comunicatie etcPlaca de interfata cu reteaua realizeaza unele servicii din serviciile de comunicare pentru un

calc conectat la o retea Comunica printr-o conexiune seriala cu reteaua si printr-o conexiune paralela cu sist de calcul fiind dotata cu LED-uri care ofera o serie de inform despre starea conexiunii la retea si a placii

Cardul PCMCIA este o placa de dimensiunea unui acrd de credit utilizata in cea mai mare parte pt calc portabile si mai putin pt calc obisnuite

Alegerea unei placi de retea are in vedere-tehnologia de retea-tipul canalului de comunicatie-tipul slot-ului de extensieConexiunea retea-placa de retea se realizeaza prin conectoriminus BNC (Bayonet Neill Concelman) - pentru cablu coaxialminus RJ-45 (Registered Jack-45) - pentru cablu UTP (Unshielded Twisted Pair) sau STP(Shielded Twisted Pair) sau RJ-11 minus MT-RJ (Mechanical Transfer-Registered Jack) - pentru fibră optică monomod sau

multimodTransceiverul dispozitiv care receptioneaza si transmite semnaleRepetorul dispozitiv care regenereaza semnalul

Page5

Hub repetor multiportBridge dispozitiv care conecteaza retele ce utilizeaza aceleasi protocoale de comunicatieRouter dispozitiv intermediar care se ocupa de livrarea mesajelorComutator(switch) dispozitiv capabil sa retransmita pachetele direct porturilor asociate cu

anumite adrese de reteaSotware-SO in retea (NOS) coordoneaza activitatile calc dintr-o reteaper-to-peer sau clientserverPeer-to-peer-sunt generate de dimeniuni mici si pretenti prea mari de securitate-se bazeaza pe partajarea resurselor g=hard si soft-este usor de instalat si administrat-nu necesita severe dedicate-exempleAppleShareWindows for WorkgroupsClientServe-so permit concentrarea functiilor si palicatiilor in unul sau mai multe servere de fis dedicate-serv de fisiere deine centrul sistemului oferind accesul la resurse in concordanta cu politica

de securitate-exempleNovell Netware si Windows 2000 ServerPrograme de retea se impart in programe cleint si programe serverAdvantajele reţelelor clientserverndash centralizare ndash securitatea resurselor şi datelor sunt controlate prin serverndash scalabilitate ndash unul sau mai multe elemente pot fi icircnlocuite icircn modindividual pentru a răspunde cererilor de performanţă tot mai marindash flexibilitate - noile tehnologii pot fi uşor integrare icircn sistemndash interoperabilitate - toate componentele (clientreţeaserver) lucreazăicircmpreunăndash accesibilitate - serverul poate fi accesat de la distanţă şi de pe platformemultipleDezavantajele reţelelor clientserverndash scumpe ndash necesită o investiţie iniţială icircntr-un server dedicatndash icircntreţinere ndash reţelele mari necesită personal pentru operarendash dependenţă ndash cacircnd un server nu mai este operaţional activităţile din reţeavor icircnceta

Arhitectura comunicatiei

Notiuni generale

Comunicaţia icircntre aplicaţii a cunoscut icircn mod succesivurmătoarele formendash schimbul - aplicaţiile de pe sisteme diferite icircşi transmit informaţii (icircngeneral schimb de

fişiere)ndash partajarea - resursele sunt accesibile icircn mod direct de pe mai multemaşini (partajarea

fişierelor imprimantei)

Page6

ndash cooperarea - procesele de pe maşini diferite au roluri complementare icircn realizarea unei aplicaţii

Un sistem de comunicaţie icircn reţea includendash sursa ndash generează datele care vor fi transmisendash transmiţătorul ndash converteşte datele icircn semnale transmisibilendash sistemul de transmisie ndash transportă datelendash receptorul ndash converteşte semnalele recepţionate icircn datendash destinatarul ndash preia datele sositePrincipale sarcini ale sistemului de comunicaţiebull Utilizarea sistemului de transmisiebull Adaptarea la specificul interfeţelorbull Generarea semnaluluibull Sincronizareabull Detectarea şi corectarea erorilorbull Adresarea şi rutareabull Recuperareabull Formatarea mesajelorbull Securitateabull Managementul reţelei de comunicaţieTermeni utilizaţibull stratul sau nivelul reuneşte un ansamblu de activităţi cooperantebull activitatea este un ansamblu coerent de acţiuni elementare pentru icircndeplinirea unui

obiectivbull acţiunile elementare sunt realizate local prin entităţi fizice sau logicebull serviciul spune ce face un nivelbull entităţile din nivelurile adiacente interacţionează prin interfaţăinterfaţa defineşte cum sunt accesate serviciile pe care un nivel le oferă nivelului superiorbull protocol-k ansamblul de convenţii stabilite pentru ca un nivel k de pe o maşină să poată

coopera cu nivelul k de pe o altă maşină icircn realizarea unei activităţibull protocolul oferă informaţii cum este implementat un serviciubull protocolul defineşte formatul ordinea de emitere şi recepţionare amesajelor icircntre entităţile din reţea şi acţiunile care se pot executaasupra mesajului la emisierecepţiebull arhitectura de reţea ansamblul de niveluri şi protocoaleProtocolul este un acord icircntre două sau mai multe entităţi care comunicăCele mai utilizate protocoale de comunicaţie icircn reţea suntminus TCPIP - set de reguli pentru comunicarea icircn reţelele mari TCPIP este inclus icircnWindows 9x Windows ME Windows NT Windows 2000 şi Windows XPComunicaţia icircn Internet necesită TCPIPminus NWLINK IPXSPX (NetWare LINK Internetwork Packet ExchangeSequence Packet

Exchange) - implementarea Microsoft pentru protocoalele IPXSPX de la Novell NWLink se regăseşte icircn Windows NT2000 şi Windows 9x permite clienţilor Windows să acceseze servere NetWare şi clienţilor NetWare să acceseze servere Windows NT2000

Page7

minus NETBEUINetBIOS (NetBIOS Extended User InterfaceNetwork Basic InputOutput System) - NetBIOS NetBEUI protocoale Microsoft

Prin protocol se specificăminus formatul mesajelorminus semnificaţia mesajelorminus reguli de comunicareminus proceduri pentru diverse situaţiibull Un protocol se poate dezvolta prin utilizareaminus diagramelor spaţiu-timpminus diagramelor de tranzacţiibull Descrierea formală a unui protocol de comunicaţie se poate realiza prinminus automatele cu stări finiteminus reţelele PetriSarcinile de comunicaţie pot fi distribuite icircn mai multe modulebull De exemplu transferul de fişiere ar putea utiliza trei module aplicaţia de transfer fişiere serviciul de comunicaţie accesul la reţeaIcircn acest caz modelul conceptual poate fi organizat pe trei niveluri nivel acces la reţea1048633 schimbă datele icircntre calculator şi reţea1048633 furnizează adresa destinaţiei1048633 poate invoca o anumită calitate a serviciului1048633 depinde de tipul reţelei utilizate nivel transport1048633 fiabilitatea datelor transmise1048633 să nu depindă de reţeaua utilizată sau de aplicaţie nivel aplicaţie suport pentru diferite aplicaţii utilizatorbull Cerinţele de adresare acţionează pentru identificarea unui calculator icircn reţea identificarea fiecărei aplicaţii pe un calculator multi-taskingNivelurile pot oferi servicii-orievtate pe conexiune-fara conexiunePrimitivele de serviciu pentru implementarea unui serviciu orientat pe conexiunebull listenbull connectbull receivebull sendbull disconnect

Principiile conceptiei pe niveluri

Principiile conceptiei pe niveluri

Page8

bull un nivel trebuie creat atunci cacircnd un nou nivel de abstractizare este necesarbull fiecare nivel execută o funcţie bine definităbull funcţiile fiecărui nivel trebuie alese prin prisma definirii protocoalelor normalizate

internaţionalbull alegerea frontierelor icircntre niveluri trebuie să minimizeze fluxul de informaţie al

interfeţelorbull numărul de niveluri trebuie să fie suficient de mare pentru a evita coabitarea icircn acelaşi

nivel a funcţiilor foarte diferite şi suficient de mic pentru a evita ca arhitectura să devină dificil de administratModele de referinte OSI-ISO SI TCP-IP

MODELUL DE REFERINTA OSIISO

OSI = Open System InterconnectionISO = International Standards OrganizationNivelul fizic pp gestiunea si exploatarea suporturilor fizice de comunicatie ndash interfete mecanice si electrice

proceduri de receptive si emisie a informatiei binare adaptarea semnalelor la support etcExemplificarea conceptelor- Serviciu schimbul de info intre 2 sisteme conectate printr-o leg fizica- Interfata specifica modul de transmitere a unui bit- Protocol utilizarea schemei de codificare pt reprezentarea unui bit nivel de tensiune durata unui bitNivelul legatura de date genereaza cadrele ce vor fi transmise prin niv fizic asigura detectia si corectia erorilor

de transmisie Exemplificarea conceptelor- Serviciu construirea cadrelor emiterea cadrelor de date alte servicii optionale arbitrarea accesului la

canalul de comunicatie controlul fluxului asigurarea fiabilitatii transmisiei- Interfata emiterea unei unitati de datela o masina conectata la acelasi mediu fizic- Protocol adresarea nivelului implementarea controlului pt accesul la mediu fizicNivelul retea controleaza operatiile din subretea (directioneaza info in traversarea retelei sau retelelor are

capacitatea sa stabileasca sis a intrerupa comunicatii)Nivelul transport accepta datele de la nivelul superior le fragmenteaza in unitati de date care vor fi transmise

nivelului retea controleaza transferul de date punct-la-punct in traversarea reteleiNivelul sesiune realizeaza functiile care sunt necesare ca support al dialogului dintre procese cum ar fi

initializarea sincronizarea si terminarea dialoguluiNivelul prezentare defineste semantic si sintaxa datelor care se vor schimbaNivelul aplicatie ofera utilizatorului serviciile defineste mecanisme si protocoale specific tipurilor de aplicatii

posta electronic transferul de fisiere serviciu web etc

MODELUL DE REFERINTA TCPIP

TCP = Transmission Control ProtocolIP = Internet ProtocolNivelul Acces la retea permit transmiterea datelor catre alte masini conectate la retea protocolul utilizat depinde

de tipul retelei X25 X21 IEEE 802x etcNivelul Internet permite interconectarea reteleor in vederea asigurarii schimbului de date intre 2 statii racordate la

retele diferite Protocolul Internet (IP) este cel mai semnificativ protocaol al acestui nivelNivelul transport transporta datele punct-la-punct intre procesele utilizatoare Principalele protocoale folosite

TCP si UDP (User Datagram Protocol)Nivelul Aplicatie contine protocoale suportate de diferitele aplicatii O aplicatie este un proces utilizator care

coopereaza cu un alt proces de pe aceeasi statie sau de pe alta statie Dintre protocoalele nivelului aplicatie amintim TELNET FTP DNS SMTP SNMP HTTP etcNivelul aplicatie

Page9

Protocoale ale nivelului aplicatie

Protocoale ale nivelului de aplicatie sunt aplicaţii scrise de utilizator sau aplicaţii standardizate şi distribuite cu produsele TCPIP De

exempluminus TELNET (Network Terminal Protocol)minus FTP (File Transfer Protocol)minus SMTP (Simple Mail Transfer Protocol)minus DNS (Domain Name Service)minus SNMP (Simple Network Management Protocol)minus HTTP (HiperText Transport Protocol)utilizează UDP (User Datagram Protocol) sau TCP (Transmission Control Protocol) pentru transport majoritatea folosesc modelul clientserver pentru interacţiune

Servicii Internet

Servicii internetminus poşta electronicăminus transferul de fişiere (FTP)minus acces la calculatoarele de la distantă (Telnet SSH)minus distribuirea informaţiei icircn timp real (Chat Web)minus World Wide Web (WWW) - afişarea multimedia oportunităţi de afaceritransmisia rapidă a informaţiei icircntre calculatoareMetode de acces la Internetbull Prin cablundash ISDN (Integrated Services Digital Network) - utilizează liniile telefonice existente

standard internaţional de comunicaţie pentru transmiterea simultană de voce date şi imagine prin intermediul liniei de telefonie digitală ISDN suportă rate de transfer de 64 kbps pe un singur canal

ndash xDSL (Digital Subscriber Line) - utilizează liniile telefonice existente fiind similar cu ISDN integrează serviciile telefonice obişnuite şi accesul la Internet prin utilizarea unui modem xDSL xemple de tehnologii xDSL ADSL(Asymmetric DSL) SDSL (Symmetric DSL) HDSL (High-data-rate DSL) VDSL (Very high DSL) etc

ndash Dial-Up - utilizează un modem şi o linie telefonică standard viteza maximă de transfer este de 56 Kbps

minus Modemul pentru cablu - un tip de modem care oferă accesul la Internet prin infrastructura televiziunii prin cablu (CATV) Cei care au televiziune princablu se pot conecta la Internet avacircnd o conexiune de mare viteză

Modemurile de cablu concurează cu tehnologiile xDSLFără cabluminus Wi-Fi - tehnologie folosită pentru reţele WLAN (Wireless Local Area Network) şi care are

la bază standarde din familia IEEE 80211 Reţelele Wi-Fi operează icircn benzile radio de 24 şi 5GHz avacircnd rate de transfer a datelor cuprinse icircntre 11 şi 54 Mbps icircn funcţie de standardele folosite Prin Wi-Fi o aceeaşi conexiune la Internet poate fi folosită de mai multe dispozitive

Page10

minus WiMax este un standard dezvoltat de IEEE (80216) care permite conexiuni wireless pe o rază de pacircnă la 50 km şi lăţimi de bandă de pacircnă la 70Mbps WiMax oferă o alternativă wireless la ccesul standard icircn bandă largă reducacircnd costurile de implementare icircn zone fără infrastructuri existente

minus Bluetooth - tehnologia este utilizată icircntr-o reţea WPAN (Wireless Personal Area Network) şi are o rază mică de acţiune

POSTA ELECTRONICA

Posta electronicabull agentul utilizator (Mail User Agent - MUA) permite compunerea mesajelor care se

expediază citirea mesajelor recepţionate etc - reprezintă interfaţa cu utilizatorulbull agentul de transport (Mail Transport Agent - MTA) asigură transportul corespondenţei la

distanţăbull agent de predare locală (Local Delivery Agent - LDA) asigură transportul corespondenţei

localeFunctiile generale-compunerea-transferul-afisarea-dipozitiacitireastergereasalvareaprocesarea etc(destinatar)Mesajul-antet cu formatul-linie goala-corpul mesajuluiMIME (Multipurpose Internet Mail Extensions) prin RFC 2045-2049 oferăfacilităţi pentruminus includerea multiplelor obiecte icircntr-un singur mesajminus reprezentarea textelor şi cu alte seturi de caractere decacirct ASCII SUAminus includerea imaginilor sau fragmentelor audio icircn mesajProduse soft cu rol de agent utilizator pt e-mail-oulook express-pegasus-eudoraProtocoale utilizate in serviciul de posta electronicabull SMTP (Simple Mail Transfer Protocol) RFC 2821 defineşte protocolul de comunicaţie

pentru transferul mesajele de poştă electronicăbull Utilizează TCPbull Comenzile şi răspunsurile sunt codificate icircn ASCIIProtocoale utilizate icircn serviciul de poştă electronică pentruaccesul clientului (livrarea finală a mesajelor)minus POP3 (Post Office Protocol)minus IMAP (Interactive Mail Access Protocol)Protocoalele oferă aceleaşi funcţii de bază

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 3: Sinteza retele de calculatoare

Page3

-comunicatie analogic semnalul analogic prin care se masoara informatia este o marime fizica ce variaza continuu de exemplu tensiunea

-comunicarea digitala inform este repr printr-o marime fizica cu stari discrete un semnala digital(ex2 nivele de tens)

2Tipul subretelei-fara comutare punt-la-punctmultipunct-cu comutarecomutare de circuitecomutare logica(comutare de mesajecomutare prin

pachetecomutare de celule)Subreteaua de comunicatie cu comutare logica(Store-and-Forward) include procesoare

intermediare (routers gateways switches etc) pt stocarea si transmiterea blocurilo de dateIcircn comutarea logică fiecare bloc de date este recepţionat icircn icircntregime verificat dacă are erori şi retransmis către

destinaţieComutarea logică necesită spaţiu de stocare şi un timp detransmisie pentru fiecare nod intermediarComutare de mesaje blocul de date care transfera este un mesaj completComutare de pachete bl de date care se trabsfera are o dimensiune variabila este un pachet

ndash mesajul este fragmentatComutare de celule unitatea de transf este un bl de date de dimens fixa(o celula) Retele

ATM util cel de 53 de octetiDupa topologieTopologia fizicadescrie modul in care sunt conectate calcStabilirea clsei este vaab pt lan-uriaspecte-tipul canalului de transmisie punct-la-punct sau multipunct-interconectarea ndurilor reteleisimetricnesimetricaClase topologice-magistrala(bus)cablu principal are atasat la cele doua capete cate un terminator Toate

nodurile sunt conectate la cablu Retelele Ethernet si LocalTalk util topologia busAvantajeconevctareusoracoturi scazute mai putin cablu ca steaDezavantajedaca se intrerupe cablu ret se dezactiveaza necesita terminatori la ambele

cabluri dificil de identificat cauza care duce la caderea intregii retele-steafiecare dispozitiv al retelei va fi conectat direct la hub au concentrator central care

administreaza si controleaza toate functiile din reteaAvantajeusor de instalat si cablat nu este afectata functionarea retelei la conectarea sau

deconectarea unui dipozitiv este usor de identificat echipament defect si deconectatDezavantaje necesita mia mult cablu daca hub-ulconcentratorul se defecteaza nodurile

atasate sunt dezactivatemai scumpe decat la bus dat costurilor pt concentrator-inel fiecare calc este conectat la alte doua calc retele FDDI Avantaje si dezavantaje ca la

bus-arbore combina carac bus cu stea Permit extinderea unei retele existenteAvantaje este suportata de multe din prod de retea hard si soft cablarea punt-la-punct a seg

individualeDezavantajelungimea fiecarui seg este limitata prin tipul cablului d=folosit daca magistrala

principala(backbone) se defecteaza cade toata reteaua mai dificil de configurat-plasa total conectata(mesh)fiecare host comunica direct cu toate celelalte host-uri din retea

Page4

-celulararetele wireless(tel mobila) Topologia celulară se bazează pe tehnica reutilizării frecvenţei - optimizează folosirea

spectrului limitat al frecvenţelor radio Icircn reţelele celulare suprafaţa acoperită de o staţie de baza (de exemplu o antenă) este

relativ redusăCelulele adiacente folosesc frecvenţe diferite pentru a evita interferenţele o aceeaşi

frecvenţă poate fi refolosită icircn celulele care nu sunt icircn vecinătateTopologia logica descrie modul in care informatiile se transmit in cadrul retelei prin

topologia fizica Sunt sit in care top logica nu coresp cu cea fizica In terminologia CSISSP se refera la metoda de acces la retea Metodele de acces frecvent utiliztae au ca obictiv partajarea canalului de comunicatie utilizarea teken-ului

Componente de retea

Hardware-calcserverclient-echipamente periferice-placile cu intrefata de retea-alte echipamentetransceiver repetor hub bridge comutator(switch) routerServer calc care are capacitatea sa raspunda oricand cererilor pe care le primeste din partea

clientilor Calc rpid care detine o mare capac de stocare iar accesul se face printr-o interfata de retea de mare viteza Pot exista mai multe servere

Tipuri de servere-file serversstocarea datelor si fisierelor Fis se pastreaza pe calc gazda si aplicatia se

executa pe calc client-alte tiparirefaxmailwebaplicatii BD baze de comunicatie etcPlaca de interfata cu reteaua realizeaza unele servicii din serviciile de comunicare pentru un

calc conectat la o retea Comunica printr-o conexiune seriala cu reteaua si printr-o conexiune paralela cu sist de calcul fiind dotata cu LED-uri care ofera o serie de inform despre starea conexiunii la retea si a placii

Cardul PCMCIA este o placa de dimensiunea unui acrd de credit utilizata in cea mai mare parte pt calc portabile si mai putin pt calc obisnuite

Alegerea unei placi de retea are in vedere-tehnologia de retea-tipul canalului de comunicatie-tipul slot-ului de extensieConexiunea retea-placa de retea se realizeaza prin conectoriminus BNC (Bayonet Neill Concelman) - pentru cablu coaxialminus RJ-45 (Registered Jack-45) - pentru cablu UTP (Unshielded Twisted Pair) sau STP(Shielded Twisted Pair) sau RJ-11 minus MT-RJ (Mechanical Transfer-Registered Jack) - pentru fibră optică monomod sau

multimodTransceiverul dispozitiv care receptioneaza si transmite semnaleRepetorul dispozitiv care regenereaza semnalul

Page5

Hub repetor multiportBridge dispozitiv care conecteaza retele ce utilizeaza aceleasi protocoale de comunicatieRouter dispozitiv intermediar care se ocupa de livrarea mesajelorComutator(switch) dispozitiv capabil sa retransmita pachetele direct porturilor asociate cu

anumite adrese de reteaSotware-SO in retea (NOS) coordoneaza activitatile calc dintr-o reteaper-to-peer sau clientserverPeer-to-peer-sunt generate de dimeniuni mici si pretenti prea mari de securitate-se bazeaza pe partajarea resurselor g=hard si soft-este usor de instalat si administrat-nu necesita severe dedicate-exempleAppleShareWindows for WorkgroupsClientServe-so permit concentrarea functiilor si palicatiilor in unul sau mai multe servere de fis dedicate-serv de fisiere deine centrul sistemului oferind accesul la resurse in concordanta cu politica

de securitate-exempleNovell Netware si Windows 2000 ServerPrograme de retea se impart in programe cleint si programe serverAdvantajele reţelelor clientserverndash centralizare ndash securitatea resurselor şi datelor sunt controlate prin serverndash scalabilitate ndash unul sau mai multe elemente pot fi icircnlocuite icircn modindividual pentru a răspunde cererilor de performanţă tot mai marindash flexibilitate - noile tehnologii pot fi uşor integrare icircn sistemndash interoperabilitate - toate componentele (clientreţeaserver) lucreazăicircmpreunăndash accesibilitate - serverul poate fi accesat de la distanţă şi de pe platformemultipleDezavantajele reţelelor clientserverndash scumpe ndash necesită o investiţie iniţială icircntr-un server dedicatndash icircntreţinere ndash reţelele mari necesită personal pentru operarendash dependenţă ndash cacircnd un server nu mai este operaţional activităţile din reţeavor icircnceta

Arhitectura comunicatiei

Notiuni generale

Comunicaţia icircntre aplicaţii a cunoscut icircn mod succesivurmătoarele formendash schimbul - aplicaţiile de pe sisteme diferite icircşi transmit informaţii (icircngeneral schimb de

fişiere)ndash partajarea - resursele sunt accesibile icircn mod direct de pe mai multemaşini (partajarea

fişierelor imprimantei)

Page6

ndash cooperarea - procesele de pe maşini diferite au roluri complementare icircn realizarea unei aplicaţii

Un sistem de comunicaţie icircn reţea includendash sursa ndash generează datele care vor fi transmisendash transmiţătorul ndash converteşte datele icircn semnale transmisibilendash sistemul de transmisie ndash transportă datelendash receptorul ndash converteşte semnalele recepţionate icircn datendash destinatarul ndash preia datele sositePrincipale sarcini ale sistemului de comunicaţiebull Utilizarea sistemului de transmisiebull Adaptarea la specificul interfeţelorbull Generarea semnaluluibull Sincronizareabull Detectarea şi corectarea erorilorbull Adresarea şi rutareabull Recuperareabull Formatarea mesajelorbull Securitateabull Managementul reţelei de comunicaţieTermeni utilizaţibull stratul sau nivelul reuneşte un ansamblu de activităţi cooperantebull activitatea este un ansamblu coerent de acţiuni elementare pentru icircndeplinirea unui

obiectivbull acţiunile elementare sunt realizate local prin entităţi fizice sau logicebull serviciul spune ce face un nivelbull entităţile din nivelurile adiacente interacţionează prin interfaţăinterfaţa defineşte cum sunt accesate serviciile pe care un nivel le oferă nivelului superiorbull protocol-k ansamblul de convenţii stabilite pentru ca un nivel k de pe o maşină să poată

coopera cu nivelul k de pe o altă maşină icircn realizarea unei activităţibull protocolul oferă informaţii cum este implementat un serviciubull protocolul defineşte formatul ordinea de emitere şi recepţionare amesajelor icircntre entităţile din reţea şi acţiunile care se pot executaasupra mesajului la emisierecepţiebull arhitectura de reţea ansamblul de niveluri şi protocoaleProtocolul este un acord icircntre două sau mai multe entităţi care comunicăCele mai utilizate protocoale de comunicaţie icircn reţea suntminus TCPIP - set de reguli pentru comunicarea icircn reţelele mari TCPIP este inclus icircnWindows 9x Windows ME Windows NT Windows 2000 şi Windows XPComunicaţia icircn Internet necesită TCPIPminus NWLINK IPXSPX (NetWare LINK Internetwork Packet ExchangeSequence Packet

Exchange) - implementarea Microsoft pentru protocoalele IPXSPX de la Novell NWLink se regăseşte icircn Windows NT2000 şi Windows 9x permite clienţilor Windows să acceseze servere NetWare şi clienţilor NetWare să acceseze servere Windows NT2000

Page7

minus NETBEUINetBIOS (NetBIOS Extended User InterfaceNetwork Basic InputOutput System) - NetBIOS NetBEUI protocoale Microsoft

Prin protocol se specificăminus formatul mesajelorminus semnificaţia mesajelorminus reguli de comunicareminus proceduri pentru diverse situaţiibull Un protocol se poate dezvolta prin utilizareaminus diagramelor spaţiu-timpminus diagramelor de tranzacţiibull Descrierea formală a unui protocol de comunicaţie se poate realiza prinminus automatele cu stări finiteminus reţelele PetriSarcinile de comunicaţie pot fi distribuite icircn mai multe modulebull De exemplu transferul de fişiere ar putea utiliza trei module aplicaţia de transfer fişiere serviciul de comunicaţie accesul la reţeaIcircn acest caz modelul conceptual poate fi organizat pe trei niveluri nivel acces la reţea1048633 schimbă datele icircntre calculator şi reţea1048633 furnizează adresa destinaţiei1048633 poate invoca o anumită calitate a serviciului1048633 depinde de tipul reţelei utilizate nivel transport1048633 fiabilitatea datelor transmise1048633 să nu depindă de reţeaua utilizată sau de aplicaţie nivel aplicaţie suport pentru diferite aplicaţii utilizatorbull Cerinţele de adresare acţionează pentru identificarea unui calculator icircn reţea identificarea fiecărei aplicaţii pe un calculator multi-taskingNivelurile pot oferi servicii-orievtate pe conexiune-fara conexiunePrimitivele de serviciu pentru implementarea unui serviciu orientat pe conexiunebull listenbull connectbull receivebull sendbull disconnect

Principiile conceptiei pe niveluri

Principiile conceptiei pe niveluri

Page8

bull un nivel trebuie creat atunci cacircnd un nou nivel de abstractizare este necesarbull fiecare nivel execută o funcţie bine definităbull funcţiile fiecărui nivel trebuie alese prin prisma definirii protocoalelor normalizate

internaţionalbull alegerea frontierelor icircntre niveluri trebuie să minimizeze fluxul de informaţie al

interfeţelorbull numărul de niveluri trebuie să fie suficient de mare pentru a evita coabitarea icircn acelaşi

nivel a funcţiilor foarte diferite şi suficient de mic pentru a evita ca arhitectura să devină dificil de administratModele de referinte OSI-ISO SI TCP-IP

MODELUL DE REFERINTA OSIISO

OSI = Open System InterconnectionISO = International Standards OrganizationNivelul fizic pp gestiunea si exploatarea suporturilor fizice de comunicatie ndash interfete mecanice si electrice

proceduri de receptive si emisie a informatiei binare adaptarea semnalelor la support etcExemplificarea conceptelor- Serviciu schimbul de info intre 2 sisteme conectate printr-o leg fizica- Interfata specifica modul de transmitere a unui bit- Protocol utilizarea schemei de codificare pt reprezentarea unui bit nivel de tensiune durata unui bitNivelul legatura de date genereaza cadrele ce vor fi transmise prin niv fizic asigura detectia si corectia erorilor

de transmisie Exemplificarea conceptelor- Serviciu construirea cadrelor emiterea cadrelor de date alte servicii optionale arbitrarea accesului la

canalul de comunicatie controlul fluxului asigurarea fiabilitatii transmisiei- Interfata emiterea unei unitati de datela o masina conectata la acelasi mediu fizic- Protocol adresarea nivelului implementarea controlului pt accesul la mediu fizicNivelul retea controleaza operatiile din subretea (directioneaza info in traversarea retelei sau retelelor are

capacitatea sa stabileasca sis a intrerupa comunicatii)Nivelul transport accepta datele de la nivelul superior le fragmenteaza in unitati de date care vor fi transmise

nivelului retea controleaza transferul de date punct-la-punct in traversarea reteleiNivelul sesiune realizeaza functiile care sunt necesare ca support al dialogului dintre procese cum ar fi

initializarea sincronizarea si terminarea dialoguluiNivelul prezentare defineste semantic si sintaxa datelor care se vor schimbaNivelul aplicatie ofera utilizatorului serviciile defineste mecanisme si protocoale specific tipurilor de aplicatii

posta electronic transferul de fisiere serviciu web etc

MODELUL DE REFERINTA TCPIP

TCP = Transmission Control ProtocolIP = Internet ProtocolNivelul Acces la retea permit transmiterea datelor catre alte masini conectate la retea protocolul utilizat depinde

de tipul retelei X25 X21 IEEE 802x etcNivelul Internet permite interconectarea reteleor in vederea asigurarii schimbului de date intre 2 statii racordate la

retele diferite Protocolul Internet (IP) este cel mai semnificativ protocaol al acestui nivelNivelul transport transporta datele punct-la-punct intre procesele utilizatoare Principalele protocoale folosite

TCP si UDP (User Datagram Protocol)Nivelul Aplicatie contine protocoale suportate de diferitele aplicatii O aplicatie este un proces utilizator care

coopereaza cu un alt proces de pe aceeasi statie sau de pe alta statie Dintre protocoalele nivelului aplicatie amintim TELNET FTP DNS SMTP SNMP HTTP etcNivelul aplicatie

Page9

Protocoale ale nivelului aplicatie

Protocoale ale nivelului de aplicatie sunt aplicaţii scrise de utilizator sau aplicaţii standardizate şi distribuite cu produsele TCPIP De

exempluminus TELNET (Network Terminal Protocol)minus FTP (File Transfer Protocol)minus SMTP (Simple Mail Transfer Protocol)minus DNS (Domain Name Service)minus SNMP (Simple Network Management Protocol)minus HTTP (HiperText Transport Protocol)utilizează UDP (User Datagram Protocol) sau TCP (Transmission Control Protocol) pentru transport majoritatea folosesc modelul clientserver pentru interacţiune

Servicii Internet

Servicii internetminus poşta electronicăminus transferul de fişiere (FTP)minus acces la calculatoarele de la distantă (Telnet SSH)minus distribuirea informaţiei icircn timp real (Chat Web)minus World Wide Web (WWW) - afişarea multimedia oportunităţi de afaceritransmisia rapidă a informaţiei icircntre calculatoareMetode de acces la Internetbull Prin cablundash ISDN (Integrated Services Digital Network) - utilizează liniile telefonice existente

standard internaţional de comunicaţie pentru transmiterea simultană de voce date şi imagine prin intermediul liniei de telefonie digitală ISDN suportă rate de transfer de 64 kbps pe un singur canal

ndash xDSL (Digital Subscriber Line) - utilizează liniile telefonice existente fiind similar cu ISDN integrează serviciile telefonice obişnuite şi accesul la Internet prin utilizarea unui modem xDSL xemple de tehnologii xDSL ADSL(Asymmetric DSL) SDSL (Symmetric DSL) HDSL (High-data-rate DSL) VDSL (Very high DSL) etc

ndash Dial-Up - utilizează un modem şi o linie telefonică standard viteza maximă de transfer este de 56 Kbps

minus Modemul pentru cablu - un tip de modem care oferă accesul la Internet prin infrastructura televiziunii prin cablu (CATV) Cei care au televiziune princablu se pot conecta la Internet avacircnd o conexiune de mare viteză

Modemurile de cablu concurează cu tehnologiile xDSLFără cabluminus Wi-Fi - tehnologie folosită pentru reţele WLAN (Wireless Local Area Network) şi care are

la bază standarde din familia IEEE 80211 Reţelele Wi-Fi operează icircn benzile radio de 24 şi 5GHz avacircnd rate de transfer a datelor cuprinse icircntre 11 şi 54 Mbps icircn funcţie de standardele folosite Prin Wi-Fi o aceeaşi conexiune la Internet poate fi folosită de mai multe dispozitive

Page10

minus WiMax este un standard dezvoltat de IEEE (80216) care permite conexiuni wireless pe o rază de pacircnă la 50 km şi lăţimi de bandă de pacircnă la 70Mbps WiMax oferă o alternativă wireless la ccesul standard icircn bandă largă reducacircnd costurile de implementare icircn zone fără infrastructuri existente

minus Bluetooth - tehnologia este utilizată icircntr-o reţea WPAN (Wireless Personal Area Network) şi are o rază mică de acţiune

POSTA ELECTRONICA

Posta electronicabull agentul utilizator (Mail User Agent - MUA) permite compunerea mesajelor care se

expediază citirea mesajelor recepţionate etc - reprezintă interfaţa cu utilizatorulbull agentul de transport (Mail Transport Agent - MTA) asigură transportul corespondenţei la

distanţăbull agent de predare locală (Local Delivery Agent - LDA) asigură transportul corespondenţei

localeFunctiile generale-compunerea-transferul-afisarea-dipozitiacitireastergereasalvareaprocesarea etc(destinatar)Mesajul-antet cu formatul-linie goala-corpul mesajuluiMIME (Multipurpose Internet Mail Extensions) prin RFC 2045-2049 oferăfacilităţi pentruminus includerea multiplelor obiecte icircntr-un singur mesajminus reprezentarea textelor şi cu alte seturi de caractere decacirct ASCII SUAminus includerea imaginilor sau fragmentelor audio icircn mesajProduse soft cu rol de agent utilizator pt e-mail-oulook express-pegasus-eudoraProtocoale utilizate in serviciul de posta electronicabull SMTP (Simple Mail Transfer Protocol) RFC 2821 defineşte protocolul de comunicaţie

pentru transferul mesajele de poştă electronicăbull Utilizează TCPbull Comenzile şi răspunsurile sunt codificate icircn ASCIIProtocoale utilizate icircn serviciul de poştă electronică pentruaccesul clientului (livrarea finală a mesajelor)minus POP3 (Post Office Protocol)minus IMAP (Interactive Mail Access Protocol)Protocoalele oferă aceleaşi funcţii de bază

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 4: Sinteza retele de calculatoare

Page4

-celulararetele wireless(tel mobila) Topologia celulară se bazează pe tehnica reutilizării frecvenţei - optimizează folosirea

spectrului limitat al frecvenţelor radio Icircn reţelele celulare suprafaţa acoperită de o staţie de baza (de exemplu o antenă) este

relativ redusăCelulele adiacente folosesc frecvenţe diferite pentru a evita interferenţele o aceeaşi

frecvenţă poate fi refolosită icircn celulele care nu sunt icircn vecinătateTopologia logica descrie modul in care informatiile se transmit in cadrul retelei prin

topologia fizica Sunt sit in care top logica nu coresp cu cea fizica In terminologia CSISSP se refera la metoda de acces la retea Metodele de acces frecvent utiliztae au ca obictiv partajarea canalului de comunicatie utilizarea teken-ului

Componente de retea

Hardware-calcserverclient-echipamente periferice-placile cu intrefata de retea-alte echipamentetransceiver repetor hub bridge comutator(switch) routerServer calc care are capacitatea sa raspunda oricand cererilor pe care le primeste din partea

clientilor Calc rpid care detine o mare capac de stocare iar accesul se face printr-o interfata de retea de mare viteza Pot exista mai multe servere

Tipuri de servere-file serversstocarea datelor si fisierelor Fis se pastreaza pe calc gazda si aplicatia se

executa pe calc client-alte tiparirefaxmailwebaplicatii BD baze de comunicatie etcPlaca de interfata cu reteaua realizeaza unele servicii din serviciile de comunicare pentru un

calc conectat la o retea Comunica printr-o conexiune seriala cu reteaua si printr-o conexiune paralela cu sist de calcul fiind dotata cu LED-uri care ofera o serie de inform despre starea conexiunii la retea si a placii

Cardul PCMCIA este o placa de dimensiunea unui acrd de credit utilizata in cea mai mare parte pt calc portabile si mai putin pt calc obisnuite

Alegerea unei placi de retea are in vedere-tehnologia de retea-tipul canalului de comunicatie-tipul slot-ului de extensieConexiunea retea-placa de retea se realizeaza prin conectoriminus BNC (Bayonet Neill Concelman) - pentru cablu coaxialminus RJ-45 (Registered Jack-45) - pentru cablu UTP (Unshielded Twisted Pair) sau STP(Shielded Twisted Pair) sau RJ-11 minus MT-RJ (Mechanical Transfer-Registered Jack) - pentru fibră optică monomod sau

multimodTransceiverul dispozitiv care receptioneaza si transmite semnaleRepetorul dispozitiv care regenereaza semnalul

Page5

Hub repetor multiportBridge dispozitiv care conecteaza retele ce utilizeaza aceleasi protocoale de comunicatieRouter dispozitiv intermediar care se ocupa de livrarea mesajelorComutator(switch) dispozitiv capabil sa retransmita pachetele direct porturilor asociate cu

anumite adrese de reteaSotware-SO in retea (NOS) coordoneaza activitatile calc dintr-o reteaper-to-peer sau clientserverPeer-to-peer-sunt generate de dimeniuni mici si pretenti prea mari de securitate-se bazeaza pe partajarea resurselor g=hard si soft-este usor de instalat si administrat-nu necesita severe dedicate-exempleAppleShareWindows for WorkgroupsClientServe-so permit concentrarea functiilor si palicatiilor in unul sau mai multe servere de fis dedicate-serv de fisiere deine centrul sistemului oferind accesul la resurse in concordanta cu politica

de securitate-exempleNovell Netware si Windows 2000 ServerPrograme de retea se impart in programe cleint si programe serverAdvantajele reţelelor clientserverndash centralizare ndash securitatea resurselor şi datelor sunt controlate prin serverndash scalabilitate ndash unul sau mai multe elemente pot fi icircnlocuite icircn modindividual pentru a răspunde cererilor de performanţă tot mai marindash flexibilitate - noile tehnologii pot fi uşor integrare icircn sistemndash interoperabilitate - toate componentele (clientreţeaserver) lucreazăicircmpreunăndash accesibilitate - serverul poate fi accesat de la distanţă şi de pe platformemultipleDezavantajele reţelelor clientserverndash scumpe ndash necesită o investiţie iniţială icircntr-un server dedicatndash icircntreţinere ndash reţelele mari necesită personal pentru operarendash dependenţă ndash cacircnd un server nu mai este operaţional activităţile din reţeavor icircnceta

Arhitectura comunicatiei

Notiuni generale

Comunicaţia icircntre aplicaţii a cunoscut icircn mod succesivurmătoarele formendash schimbul - aplicaţiile de pe sisteme diferite icircşi transmit informaţii (icircngeneral schimb de

fişiere)ndash partajarea - resursele sunt accesibile icircn mod direct de pe mai multemaşini (partajarea

fişierelor imprimantei)

Page6

ndash cooperarea - procesele de pe maşini diferite au roluri complementare icircn realizarea unei aplicaţii

Un sistem de comunicaţie icircn reţea includendash sursa ndash generează datele care vor fi transmisendash transmiţătorul ndash converteşte datele icircn semnale transmisibilendash sistemul de transmisie ndash transportă datelendash receptorul ndash converteşte semnalele recepţionate icircn datendash destinatarul ndash preia datele sositePrincipale sarcini ale sistemului de comunicaţiebull Utilizarea sistemului de transmisiebull Adaptarea la specificul interfeţelorbull Generarea semnaluluibull Sincronizareabull Detectarea şi corectarea erorilorbull Adresarea şi rutareabull Recuperareabull Formatarea mesajelorbull Securitateabull Managementul reţelei de comunicaţieTermeni utilizaţibull stratul sau nivelul reuneşte un ansamblu de activităţi cooperantebull activitatea este un ansamblu coerent de acţiuni elementare pentru icircndeplinirea unui

obiectivbull acţiunile elementare sunt realizate local prin entităţi fizice sau logicebull serviciul spune ce face un nivelbull entităţile din nivelurile adiacente interacţionează prin interfaţăinterfaţa defineşte cum sunt accesate serviciile pe care un nivel le oferă nivelului superiorbull protocol-k ansamblul de convenţii stabilite pentru ca un nivel k de pe o maşină să poată

coopera cu nivelul k de pe o altă maşină icircn realizarea unei activităţibull protocolul oferă informaţii cum este implementat un serviciubull protocolul defineşte formatul ordinea de emitere şi recepţionare amesajelor icircntre entităţile din reţea şi acţiunile care se pot executaasupra mesajului la emisierecepţiebull arhitectura de reţea ansamblul de niveluri şi protocoaleProtocolul este un acord icircntre două sau mai multe entităţi care comunicăCele mai utilizate protocoale de comunicaţie icircn reţea suntminus TCPIP - set de reguli pentru comunicarea icircn reţelele mari TCPIP este inclus icircnWindows 9x Windows ME Windows NT Windows 2000 şi Windows XPComunicaţia icircn Internet necesită TCPIPminus NWLINK IPXSPX (NetWare LINK Internetwork Packet ExchangeSequence Packet

Exchange) - implementarea Microsoft pentru protocoalele IPXSPX de la Novell NWLink se regăseşte icircn Windows NT2000 şi Windows 9x permite clienţilor Windows să acceseze servere NetWare şi clienţilor NetWare să acceseze servere Windows NT2000

Page7

minus NETBEUINetBIOS (NetBIOS Extended User InterfaceNetwork Basic InputOutput System) - NetBIOS NetBEUI protocoale Microsoft

Prin protocol se specificăminus formatul mesajelorminus semnificaţia mesajelorminus reguli de comunicareminus proceduri pentru diverse situaţiibull Un protocol se poate dezvolta prin utilizareaminus diagramelor spaţiu-timpminus diagramelor de tranzacţiibull Descrierea formală a unui protocol de comunicaţie se poate realiza prinminus automatele cu stări finiteminus reţelele PetriSarcinile de comunicaţie pot fi distribuite icircn mai multe modulebull De exemplu transferul de fişiere ar putea utiliza trei module aplicaţia de transfer fişiere serviciul de comunicaţie accesul la reţeaIcircn acest caz modelul conceptual poate fi organizat pe trei niveluri nivel acces la reţea1048633 schimbă datele icircntre calculator şi reţea1048633 furnizează adresa destinaţiei1048633 poate invoca o anumită calitate a serviciului1048633 depinde de tipul reţelei utilizate nivel transport1048633 fiabilitatea datelor transmise1048633 să nu depindă de reţeaua utilizată sau de aplicaţie nivel aplicaţie suport pentru diferite aplicaţii utilizatorbull Cerinţele de adresare acţionează pentru identificarea unui calculator icircn reţea identificarea fiecărei aplicaţii pe un calculator multi-taskingNivelurile pot oferi servicii-orievtate pe conexiune-fara conexiunePrimitivele de serviciu pentru implementarea unui serviciu orientat pe conexiunebull listenbull connectbull receivebull sendbull disconnect

Principiile conceptiei pe niveluri

Principiile conceptiei pe niveluri

Page8

bull un nivel trebuie creat atunci cacircnd un nou nivel de abstractizare este necesarbull fiecare nivel execută o funcţie bine definităbull funcţiile fiecărui nivel trebuie alese prin prisma definirii protocoalelor normalizate

internaţionalbull alegerea frontierelor icircntre niveluri trebuie să minimizeze fluxul de informaţie al

interfeţelorbull numărul de niveluri trebuie să fie suficient de mare pentru a evita coabitarea icircn acelaşi

nivel a funcţiilor foarte diferite şi suficient de mic pentru a evita ca arhitectura să devină dificil de administratModele de referinte OSI-ISO SI TCP-IP

MODELUL DE REFERINTA OSIISO

OSI = Open System InterconnectionISO = International Standards OrganizationNivelul fizic pp gestiunea si exploatarea suporturilor fizice de comunicatie ndash interfete mecanice si electrice

proceduri de receptive si emisie a informatiei binare adaptarea semnalelor la support etcExemplificarea conceptelor- Serviciu schimbul de info intre 2 sisteme conectate printr-o leg fizica- Interfata specifica modul de transmitere a unui bit- Protocol utilizarea schemei de codificare pt reprezentarea unui bit nivel de tensiune durata unui bitNivelul legatura de date genereaza cadrele ce vor fi transmise prin niv fizic asigura detectia si corectia erorilor

de transmisie Exemplificarea conceptelor- Serviciu construirea cadrelor emiterea cadrelor de date alte servicii optionale arbitrarea accesului la

canalul de comunicatie controlul fluxului asigurarea fiabilitatii transmisiei- Interfata emiterea unei unitati de datela o masina conectata la acelasi mediu fizic- Protocol adresarea nivelului implementarea controlului pt accesul la mediu fizicNivelul retea controleaza operatiile din subretea (directioneaza info in traversarea retelei sau retelelor are

capacitatea sa stabileasca sis a intrerupa comunicatii)Nivelul transport accepta datele de la nivelul superior le fragmenteaza in unitati de date care vor fi transmise

nivelului retea controleaza transferul de date punct-la-punct in traversarea reteleiNivelul sesiune realizeaza functiile care sunt necesare ca support al dialogului dintre procese cum ar fi

initializarea sincronizarea si terminarea dialoguluiNivelul prezentare defineste semantic si sintaxa datelor care se vor schimbaNivelul aplicatie ofera utilizatorului serviciile defineste mecanisme si protocoale specific tipurilor de aplicatii

posta electronic transferul de fisiere serviciu web etc

MODELUL DE REFERINTA TCPIP

TCP = Transmission Control ProtocolIP = Internet ProtocolNivelul Acces la retea permit transmiterea datelor catre alte masini conectate la retea protocolul utilizat depinde

de tipul retelei X25 X21 IEEE 802x etcNivelul Internet permite interconectarea reteleor in vederea asigurarii schimbului de date intre 2 statii racordate la

retele diferite Protocolul Internet (IP) este cel mai semnificativ protocaol al acestui nivelNivelul transport transporta datele punct-la-punct intre procesele utilizatoare Principalele protocoale folosite

TCP si UDP (User Datagram Protocol)Nivelul Aplicatie contine protocoale suportate de diferitele aplicatii O aplicatie este un proces utilizator care

coopereaza cu un alt proces de pe aceeasi statie sau de pe alta statie Dintre protocoalele nivelului aplicatie amintim TELNET FTP DNS SMTP SNMP HTTP etcNivelul aplicatie

Page9

Protocoale ale nivelului aplicatie

Protocoale ale nivelului de aplicatie sunt aplicaţii scrise de utilizator sau aplicaţii standardizate şi distribuite cu produsele TCPIP De

exempluminus TELNET (Network Terminal Protocol)minus FTP (File Transfer Protocol)minus SMTP (Simple Mail Transfer Protocol)minus DNS (Domain Name Service)minus SNMP (Simple Network Management Protocol)minus HTTP (HiperText Transport Protocol)utilizează UDP (User Datagram Protocol) sau TCP (Transmission Control Protocol) pentru transport majoritatea folosesc modelul clientserver pentru interacţiune

Servicii Internet

Servicii internetminus poşta electronicăminus transferul de fişiere (FTP)minus acces la calculatoarele de la distantă (Telnet SSH)minus distribuirea informaţiei icircn timp real (Chat Web)minus World Wide Web (WWW) - afişarea multimedia oportunităţi de afaceritransmisia rapidă a informaţiei icircntre calculatoareMetode de acces la Internetbull Prin cablundash ISDN (Integrated Services Digital Network) - utilizează liniile telefonice existente

standard internaţional de comunicaţie pentru transmiterea simultană de voce date şi imagine prin intermediul liniei de telefonie digitală ISDN suportă rate de transfer de 64 kbps pe un singur canal

ndash xDSL (Digital Subscriber Line) - utilizează liniile telefonice existente fiind similar cu ISDN integrează serviciile telefonice obişnuite şi accesul la Internet prin utilizarea unui modem xDSL xemple de tehnologii xDSL ADSL(Asymmetric DSL) SDSL (Symmetric DSL) HDSL (High-data-rate DSL) VDSL (Very high DSL) etc

ndash Dial-Up - utilizează un modem şi o linie telefonică standard viteza maximă de transfer este de 56 Kbps

minus Modemul pentru cablu - un tip de modem care oferă accesul la Internet prin infrastructura televiziunii prin cablu (CATV) Cei care au televiziune princablu se pot conecta la Internet avacircnd o conexiune de mare viteză

Modemurile de cablu concurează cu tehnologiile xDSLFără cabluminus Wi-Fi - tehnologie folosită pentru reţele WLAN (Wireless Local Area Network) şi care are

la bază standarde din familia IEEE 80211 Reţelele Wi-Fi operează icircn benzile radio de 24 şi 5GHz avacircnd rate de transfer a datelor cuprinse icircntre 11 şi 54 Mbps icircn funcţie de standardele folosite Prin Wi-Fi o aceeaşi conexiune la Internet poate fi folosită de mai multe dispozitive

Page10

minus WiMax este un standard dezvoltat de IEEE (80216) care permite conexiuni wireless pe o rază de pacircnă la 50 km şi lăţimi de bandă de pacircnă la 70Mbps WiMax oferă o alternativă wireless la ccesul standard icircn bandă largă reducacircnd costurile de implementare icircn zone fără infrastructuri existente

minus Bluetooth - tehnologia este utilizată icircntr-o reţea WPAN (Wireless Personal Area Network) şi are o rază mică de acţiune

POSTA ELECTRONICA

Posta electronicabull agentul utilizator (Mail User Agent - MUA) permite compunerea mesajelor care se

expediază citirea mesajelor recepţionate etc - reprezintă interfaţa cu utilizatorulbull agentul de transport (Mail Transport Agent - MTA) asigură transportul corespondenţei la

distanţăbull agent de predare locală (Local Delivery Agent - LDA) asigură transportul corespondenţei

localeFunctiile generale-compunerea-transferul-afisarea-dipozitiacitireastergereasalvareaprocesarea etc(destinatar)Mesajul-antet cu formatul-linie goala-corpul mesajuluiMIME (Multipurpose Internet Mail Extensions) prin RFC 2045-2049 oferăfacilităţi pentruminus includerea multiplelor obiecte icircntr-un singur mesajminus reprezentarea textelor şi cu alte seturi de caractere decacirct ASCII SUAminus includerea imaginilor sau fragmentelor audio icircn mesajProduse soft cu rol de agent utilizator pt e-mail-oulook express-pegasus-eudoraProtocoale utilizate in serviciul de posta electronicabull SMTP (Simple Mail Transfer Protocol) RFC 2821 defineşte protocolul de comunicaţie

pentru transferul mesajele de poştă electronicăbull Utilizează TCPbull Comenzile şi răspunsurile sunt codificate icircn ASCIIProtocoale utilizate icircn serviciul de poştă electronică pentruaccesul clientului (livrarea finală a mesajelor)minus POP3 (Post Office Protocol)minus IMAP (Interactive Mail Access Protocol)Protocoalele oferă aceleaşi funcţii de bază

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 5: Sinteza retele de calculatoare

Page5

Hub repetor multiportBridge dispozitiv care conecteaza retele ce utilizeaza aceleasi protocoale de comunicatieRouter dispozitiv intermediar care se ocupa de livrarea mesajelorComutator(switch) dispozitiv capabil sa retransmita pachetele direct porturilor asociate cu

anumite adrese de reteaSotware-SO in retea (NOS) coordoneaza activitatile calc dintr-o reteaper-to-peer sau clientserverPeer-to-peer-sunt generate de dimeniuni mici si pretenti prea mari de securitate-se bazeaza pe partajarea resurselor g=hard si soft-este usor de instalat si administrat-nu necesita severe dedicate-exempleAppleShareWindows for WorkgroupsClientServe-so permit concentrarea functiilor si palicatiilor in unul sau mai multe servere de fis dedicate-serv de fisiere deine centrul sistemului oferind accesul la resurse in concordanta cu politica

de securitate-exempleNovell Netware si Windows 2000 ServerPrograme de retea se impart in programe cleint si programe serverAdvantajele reţelelor clientserverndash centralizare ndash securitatea resurselor şi datelor sunt controlate prin serverndash scalabilitate ndash unul sau mai multe elemente pot fi icircnlocuite icircn modindividual pentru a răspunde cererilor de performanţă tot mai marindash flexibilitate - noile tehnologii pot fi uşor integrare icircn sistemndash interoperabilitate - toate componentele (clientreţeaserver) lucreazăicircmpreunăndash accesibilitate - serverul poate fi accesat de la distanţă şi de pe platformemultipleDezavantajele reţelelor clientserverndash scumpe ndash necesită o investiţie iniţială icircntr-un server dedicatndash icircntreţinere ndash reţelele mari necesită personal pentru operarendash dependenţă ndash cacircnd un server nu mai este operaţional activităţile din reţeavor icircnceta

Arhitectura comunicatiei

Notiuni generale

Comunicaţia icircntre aplicaţii a cunoscut icircn mod succesivurmătoarele formendash schimbul - aplicaţiile de pe sisteme diferite icircşi transmit informaţii (icircngeneral schimb de

fişiere)ndash partajarea - resursele sunt accesibile icircn mod direct de pe mai multemaşini (partajarea

fişierelor imprimantei)

Page6

ndash cooperarea - procesele de pe maşini diferite au roluri complementare icircn realizarea unei aplicaţii

Un sistem de comunicaţie icircn reţea includendash sursa ndash generează datele care vor fi transmisendash transmiţătorul ndash converteşte datele icircn semnale transmisibilendash sistemul de transmisie ndash transportă datelendash receptorul ndash converteşte semnalele recepţionate icircn datendash destinatarul ndash preia datele sositePrincipale sarcini ale sistemului de comunicaţiebull Utilizarea sistemului de transmisiebull Adaptarea la specificul interfeţelorbull Generarea semnaluluibull Sincronizareabull Detectarea şi corectarea erorilorbull Adresarea şi rutareabull Recuperareabull Formatarea mesajelorbull Securitateabull Managementul reţelei de comunicaţieTermeni utilizaţibull stratul sau nivelul reuneşte un ansamblu de activităţi cooperantebull activitatea este un ansamblu coerent de acţiuni elementare pentru icircndeplinirea unui

obiectivbull acţiunile elementare sunt realizate local prin entităţi fizice sau logicebull serviciul spune ce face un nivelbull entităţile din nivelurile adiacente interacţionează prin interfaţăinterfaţa defineşte cum sunt accesate serviciile pe care un nivel le oferă nivelului superiorbull protocol-k ansamblul de convenţii stabilite pentru ca un nivel k de pe o maşină să poată

coopera cu nivelul k de pe o altă maşină icircn realizarea unei activităţibull protocolul oferă informaţii cum este implementat un serviciubull protocolul defineşte formatul ordinea de emitere şi recepţionare amesajelor icircntre entităţile din reţea şi acţiunile care se pot executaasupra mesajului la emisierecepţiebull arhitectura de reţea ansamblul de niveluri şi protocoaleProtocolul este un acord icircntre două sau mai multe entităţi care comunicăCele mai utilizate protocoale de comunicaţie icircn reţea suntminus TCPIP - set de reguli pentru comunicarea icircn reţelele mari TCPIP este inclus icircnWindows 9x Windows ME Windows NT Windows 2000 şi Windows XPComunicaţia icircn Internet necesită TCPIPminus NWLINK IPXSPX (NetWare LINK Internetwork Packet ExchangeSequence Packet

Exchange) - implementarea Microsoft pentru protocoalele IPXSPX de la Novell NWLink se regăseşte icircn Windows NT2000 şi Windows 9x permite clienţilor Windows să acceseze servere NetWare şi clienţilor NetWare să acceseze servere Windows NT2000

Page7

minus NETBEUINetBIOS (NetBIOS Extended User InterfaceNetwork Basic InputOutput System) - NetBIOS NetBEUI protocoale Microsoft

Prin protocol se specificăminus formatul mesajelorminus semnificaţia mesajelorminus reguli de comunicareminus proceduri pentru diverse situaţiibull Un protocol se poate dezvolta prin utilizareaminus diagramelor spaţiu-timpminus diagramelor de tranzacţiibull Descrierea formală a unui protocol de comunicaţie se poate realiza prinminus automatele cu stări finiteminus reţelele PetriSarcinile de comunicaţie pot fi distribuite icircn mai multe modulebull De exemplu transferul de fişiere ar putea utiliza trei module aplicaţia de transfer fişiere serviciul de comunicaţie accesul la reţeaIcircn acest caz modelul conceptual poate fi organizat pe trei niveluri nivel acces la reţea1048633 schimbă datele icircntre calculator şi reţea1048633 furnizează adresa destinaţiei1048633 poate invoca o anumită calitate a serviciului1048633 depinde de tipul reţelei utilizate nivel transport1048633 fiabilitatea datelor transmise1048633 să nu depindă de reţeaua utilizată sau de aplicaţie nivel aplicaţie suport pentru diferite aplicaţii utilizatorbull Cerinţele de adresare acţionează pentru identificarea unui calculator icircn reţea identificarea fiecărei aplicaţii pe un calculator multi-taskingNivelurile pot oferi servicii-orievtate pe conexiune-fara conexiunePrimitivele de serviciu pentru implementarea unui serviciu orientat pe conexiunebull listenbull connectbull receivebull sendbull disconnect

Principiile conceptiei pe niveluri

Principiile conceptiei pe niveluri

Page8

bull un nivel trebuie creat atunci cacircnd un nou nivel de abstractizare este necesarbull fiecare nivel execută o funcţie bine definităbull funcţiile fiecărui nivel trebuie alese prin prisma definirii protocoalelor normalizate

internaţionalbull alegerea frontierelor icircntre niveluri trebuie să minimizeze fluxul de informaţie al

interfeţelorbull numărul de niveluri trebuie să fie suficient de mare pentru a evita coabitarea icircn acelaşi

nivel a funcţiilor foarte diferite şi suficient de mic pentru a evita ca arhitectura să devină dificil de administratModele de referinte OSI-ISO SI TCP-IP

MODELUL DE REFERINTA OSIISO

OSI = Open System InterconnectionISO = International Standards OrganizationNivelul fizic pp gestiunea si exploatarea suporturilor fizice de comunicatie ndash interfete mecanice si electrice

proceduri de receptive si emisie a informatiei binare adaptarea semnalelor la support etcExemplificarea conceptelor- Serviciu schimbul de info intre 2 sisteme conectate printr-o leg fizica- Interfata specifica modul de transmitere a unui bit- Protocol utilizarea schemei de codificare pt reprezentarea unui bit nivel de tensiune durata unui bitNivelul legatura de date genereaza cadrele ce vor fi transmise prin niv fizic asigura detectia si corectia erorilor

de transmisie Exemplificarea conceptelor- Serviciu construirea cadrelor emiterea cadrelor de date alte servicii optionale arbitrarea accesului la

canalul de comunicatie controlul fluxului asigurarea fiabilitatii transmisiei- Interfata emiterea unei unitati de datela o masina conectata la acelasi mediu fizic- Protocol adresarea nivelului implementarea controlului pt accesul la mediu fizicNivelul retea controleaza operatiile din subretea (directioneaza info in traversarea retelei sau retelelor are

capacitatea sa stabileasca sis a intrerupa comunicatii)Nivelul transport accepta datele de la nivelul superior le fragmenteaza in unitati de date care vor fi transmise

nivelului retea controleaza transferul de date punct-la-punct in traversarea reteleiNivelul sesiune realizeaza functiile care sunt necesare ca support al dialogului dintre procese cum ar fi

initializarea sincronizarea si terminarea dialoguluiNivelul prezentare defineste semantic si sintaxa datelor care se vor schimbaNivelul aplicatie ofera utilizatorului serviciile defineste mecanisme si protocoale specific tipurilor de aplicatii

posta electronic transferul de fisiere serviciu web etc

MODELUL DE REFERINTA TCPIP

TCP = Transmission Control ProtocolIP = Internet ProtocolNivelul Acces la retea permit transmiterea datelor catre alte masini conectate la retea protocolul utilizat depinde

de tipul retelei X25 X21 IEEE 802x etcNivelul Internet permite interconectarea reteleor in vederea asigurarii schimbului de date intre 2 statii racordate la

retele diferite Protocolul Internet (IP) este cel mai semnificativ protocaol al acestui nivelNivelul transport transporta datele punct-la-punct intre procesele utilizatoare Principalele protocoale folosite

TCP si UDP (User Datagram Protocol)Nivelul Aplicatie contine protocoale suportate de diferitele aplicatii O aplicatie este un proces utilizator care

coopereaza cu un alt proces de pe aceeasi statie sau de pe alta statie Dintre protocoalele nivelului aplicatie amintim TELNET FTP DNS SMTP SNMP HTTP etcNivelul aplicatie

Page9

Protocoale ale nivelului aplicatie

Protocoale ale nivelului de aplicatie sunt aplicaţii scrise de utilizator sau aplicaţii standardizate şi distribuite cu produsele TCPIP De

exempluminus TELNET (Network Terminal Protocol)minus FTP (File Transfer Protocol)minus SMTP (Simple Mail Transfer Protocol)minus DNS (Domain Name Service)minus SNMP (Simple Network Management Protocol)minus HTTP (HiperText Transport Protocol)utilizează UDP (User Datagram Protocol) sau TCP (Transmission Control Protocol) pentru transport majoritatea folosesc modelul clientserver pentru interacţiune

Servicii Internet

Servicii internetminus poşta electronicăminus transferul de fişiere (FTP)minus acces la calculatoarele de la distantă (Telnet SSH)minus distribuirea informaţiei icircn timp real (Chat Web)minus World Wide Web (WWW) - afişarea multimedia oportunităţi de afaceritransmisia rapidă a informaţiei icircntre calculatoareMetode de acces la Internetbull Prin cablundash ISDN (Integrated Services Digital Network) - utilizează liniile telefonice existente

standard internaţional de comunicaţie pentru transmiterea simultană de voce date şi imagine prin intermediul liniei de telefonie digitală ISDN suportă rate de transfer de 64 kbps pe un singur canal

ndash xDSL (Digital Subscriber Line) - utilizează liniile telefonice existente fiind similar cu ISDN integrează serviciile telefonice obişnuite şi accesul la Internet prin utilizarea unui modem xDSL xemple de tehnologii xDSL ADSL(Asymmetric DSL) SDSL (Symmetric DSL) HDSL (High-data-rate DSL) VDSL (Very high DSL) etc

ndash Dial-Up - utilizează un modem şi o linie telefonică standard viteza maximă de transfer este de 56 Kbps

minus Modemul pentru cablu - un tip de modem care oferă accesul la Internet prin infrastructura televiziunii prin cablu (CATV) Cei care au televiziune princablu se pot conecta la Internet avacircnd o conexiune de mare viteză

Modemurile de cablu concurează cu tehnologiile xDSLFără cabluminus Wi-Fi - tehnologie folosită pentru reţele WLAN (Wireless Local Area Network) şi care are

la bază standarde din familia IEEE 80211 Reţelele Wi-Fi operează icircn benzile radio de 24 şi 5GHz avacircnd rate de transfer a datelor cuprinse icircntre 11 şi 54 Mbps icircn funcţie de standardele folosite Prin Wi-Fi o aceeaşi conexiune la Internet poate fi folosită de mai multe dispozitive

Page10

minus WiMax este un standard dezvoltat de IEEE (80216) care permite conexiuni wireless pe o rază de pacircnă la 50 km şi lăţimi de bandă de pacircnă la 70Mbps WiMax oferă o alternativă wireless la ccesul standard icircn bandă largă reducacircnd costurile de implementare icircn zone fără infrastructuri existente

minus Bluetooth - tehnologia este utilizată icircntr-o reţea WPAN (Wireless Personal Area Network) şi are o rază mică de acţiune

POSTA ELECTRONICA

Posta electronicabull agentul utilizator (Mail User Agent - MUA) permite compunerea mesajelor care se

expediază citirea mesajelor recepţionate etc - reprezintă interfaţa cu utilizatorulbull agentul de transport (Mail Transport Agent - MTA) asigură transportul corespondenţei la

distanţăbull agent de predare locală (Local Delivery Agent - LDA) asigură transportul corespondenţei

localeFunctiile generale-compunerea-transferul-afisarea-dipozitiacitireastergereasalvareaprocesarea etc(destinatar)Mesajul-antet cu formatul-linie goala-corpul mesajuluiMIME (Multipurpose Internet Mail Extensions) prin RFC 2045-2049 oferăfacilităţi pentruminus includerea multiplelor obiecte icircntr-un singur mesajminus reprezentarea textelor şi cu alte seturi de caractere decacirct ASCII SUAminus includerea imaginilor sau fragmentelor audio icircn mesajProduse soft cu rol de agent utilizator pt e-mail-oulook express-pegasus-eudoraProtocoale utilizate in serviciul de posta electronicabull SMTP (Simple Mail Transfer Protocol) RFC 2821 defineşte protocolul de comunicaţie

pentru transferul mesajele de poştă electronicăbull Utilizează TCPbull Comenzile şi răspunsurile sunt codificate icircn ASCIIProtocoale utilizate icircn serviciul de poştă electronică pentruaccesul clientului (livrarea finală a mesajelor)minus POP3 (Post Office Protocol)minus IMAP (Interactive Mail Access Protocol)Protocoalele oferă aceleaşi funcţii de bază

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 6: Sinteza retele de calculatoare

Page6

ndash cooperarea - procesele de pe maşini diferite au roluri complementare icircn realizarea unei aplicaţii

Un sistem de comunicaţie icircn reţea includendash sursa ndash generează datele care vor fi transmisendash transmiţătorul ndash converteşte datele icircn semnale transmisibilendash sistemul de transmisie ndash transportă datelendash receptorul ndash converteşte semnalele recepţionate icircn datendash destinatarul ndash preia datele sositePrincipale sarcini ale sistemului de comunicaţiebull Utilizarea sistemului de transmisiebull Adaptarea la specificul interfeţelorbull Generarea semnaluluibull Sincronizareabull Detectarea şi corectarea erorilorbull Adresarea şi rutareabull Recuperareabull Formatarea mesajelorbull Securitateabull Managementul reţelei de comunicaţieTermeni utilizaţibull stratul sau nivelul reuneşte un ansamblu de activităţi cooperantebull activitatea este un ansamblu coerent de acţiuni elementare pentru icircndeplinirea unui

obiectivbull acţiunile elementare sunt realizate local prin entităţi fizice sau logicebull serviciul spune ce face un nivelbull entităţile din nivelurile adiacente interacţionează prin interfaţăinterfaţa defineşte cum sunt accesate serviciile pe care un nivel le oferă nivelului superiorbull protocol-k ansamblul de convenţii stabilite pentru ca un nivel k de pe o maşină să poată

coopera cu nivelul k de pe o altă maşină icircn realizarea unei activităţibull protocolul oferă informaţii cum este implementat un serviciubull protocolul defineşte formatul ordinea de emitere şi recepţionare amesajelor icircntre entităţile din reţea şi acţiunile care se pot executaasupra mesajului la emisierecepţiebull arhitectura de reţea ansamblul de niveluri şi protocoaleProtocolul este un acord icircntre două sau mai multe entităţi care comunicăCele mai utilizate protocoale de comunicaţie icircn reţea suntminus TCPIP - set de reguli pentru comunicarea icircn reţelele mari TCPIP este inclus icircnWindows 9x Windows ME Windows NT Windows 2000 şi Windows XPComunicaţia icircn Internet necesită TCPIPminus NWLINK IPXSPX (NetWare LINK Internetwork Packet ExchangeSequence Packet

Exchange) - implementarea Microsoft pentru protocoalele IPXSPX de la Novell NWLink se regăseşte icircn Windows NT2000 şi Windows 9x permite clienţilor Windows să acceseze servere NetWare şi clienţilor NetWare să acceseze servere Windows NT2000

Page7

minus NETBEUINetBIOS (NetBIOS Extended User InterfaceNetwork Basic InputOutput System) - NetBIOS NetBEUI protocoale Microsoft

Prin protocol se specificăminus formatul mesajelorminus semnificaţia mesajelorminus reguli de comunicareminus proceduri pentru diverse situaţiibull Un protocol se poate dezvolta prin utilizareaminus diagramelor spaţiu-timpminus diagramelor de tranzacţiibull Descrierea formală a unui protocol de comunicaţie se poate realiza prinminus automatele cu stări finiteminus reţelele PetriSarcinile de comunicaţie pot fi distribuite icircn mai multe modulebull De exemplu transferul de fişiere ar putea utiliza trei module aplicaţia de transfer fişiere serviciul de comunicaţie accesul la reţeaIcircn acest caz modelul conceptual poate fi organizat pe trei niveluri nivel acces la reţea1048633 schimbă datele icircntre calculator şi reţea1048633 furnizează adresa destinaţiei1048633 poate invoca o anumită calitate a serviciului1048633 depinde de tipul reţelei utilizate nivel transport1048633 fiabilitatea datelor transmise1048633 să nu depindă de reţeaua utilizată sau de aplicaţie nivel aplicaţie suport pentru diferite aplicaţii utilizatorbull Cerinţele de adresare acţionează pentru identificarea unui calculator icircn reţea identificarea fiecărei aplicaţii pe un calculator multi-taskingNivelurile pot oferi servicii-orievtate pe conexiune-fara conexiunePrimitivele de serviciu pentru implementarea unui serviciu orientat pe conexiunebull listenbull connectbull receivebull sendbull disconnect

Principiile conceptiei pe niveluri

Principiile conceptiei pe niveluri

Page8

bull un nivel trebuie creat atunci cacircnd un nou nivel de abstractizare este necesarbull fiecare nivel execută o funcţie bine definităbull funcţiile fiecărui nivel trebuie alese prin prisma definirii protocoalelor normalizate

internaţionalbull alegerea frontierelor icircntre niveluri trebuie să minimizeze fluxul de informaţie al

interfeţelorbull numărul de niveluri trebuie să fie suficient de mare pentru a evita coabitarea icircn acelaşi

nivel a funcţiilor foarte diferite şi suficient de mic pentru a evita ca arhitectura să devină dificil de administratModele de referinte OSI-ISO SI TCP-IP

MODELUL DE REFERINTA OSIISO

OSI = Open System InterconnectionISO = International Standards OrganizationNivelul fizic pp gestiunea si exploatarea suporturilor fizice de comunicatie ndash interfete mecanice si electrice

proceduri de receptive si emisie a informatiei binare adaptarea semnalelor la support etcExemplificarea conceptelor- Serviciu schimbul de info intre 2 sisteme conectate printr-o leg fizica- Interfata specifica modul de transmitere a unui bit- Protocol utilizarea schemei de codificare pt reprezentarea unui bit nivel de tensiune durata unui bitNivelul legatura de date genereaza cadrele ce vor fi transmise prin niv fizic asigura detectia si corectia erorilor

de transmisie Exemplificarea conceptelor- Serviciu construirea cadrelor emiterea cadrelor de date alte servicii optionale arbitrarea accesului la

canalul de comunicatie controlul fluxului asigurarea fiabilitatii transmisiei- Interfata emiterea unei unitati de datela o masina conectata la acelasi mediu fizic- Protocol adresarea nivelului implementarea controlului pt accesul la mediu fizicNivelul retea controleaza operatiile din subretea (directioneaza info in traversarea retelei sau retelelor are

capacitatea sa stabileasca sis a intrerupa comunicatii)Nivelul transport accepta datele de la nivelul superior le fragmenteaza in unitati de date care vor fi transmise

nivelului retea controleaza transferul de date punct-la-punct in traversarea reteleiNivelul sesiune realizeaza functiile care sunt necesare ca support al dialogului dintre procese cum ar fi

initializarea sincronizarea si terminarea dialoguluiNivelul prezentare defineste semantic si sintaxa datelor care se vor schimbaNivelul aplicatie ofera utilizatorului serviciile defineste mecanisme si protocoale specific tipurilor de aplicatii

posta electronic transferul de fisiere serviciu web etc

MODELUL DE REFERINTA TCPIP

TCP = Transmission Control ProtocolIP = Internet ProtocolNivelul Acces la retea permit transmiterea datelor catre alte masini conectate la retea protocolul utilizat depinde

de tipul retelei X25 X21 IEEE 802x etcNivelul Internet permite interconectarea reteleor in vederea asigurarii schimbului de date intre 2 statii racordate la

retele diferite Protocolul Internet (IP) este cel mai semnificativ protocaol al acestui nivelNivelul transport transporta datele punct-la-punct intre procesele utilizatoare Principalele protocoale folosite

TCP si UDP (User Datagram Protocol)Nivelul Aplicatie contine protocoale suportate de diferitele aplicatii O aplicatie este un proces utilizator care

coopereaza cu un alt proces de pe aceeasi statie sau de pe alta statie Dintre protocoalele nivelului aplicatie amintim TELNET FTP DNS SMTP SNMP HTTP etcNivelul aplicatie

Page9

Protocoale ale nivelului aplicatie

Protocoale ale nivelului de aplicatie sunt aplicaţii scrise de utilizator sau aplicaţii standardizate şi distribuite cu produsele TCPIP De

exempluminus TELNET (Network Terminal Protocol)minus FTP (File Transfer Protocol)minus SMTP (Simple Mail Transfer Protocol)minus DNS (Domain Name Service)minus SNMP (Simple Network Management Protocol)minus HTTP (HiperText Transport Protocol)utilizează UDP (User Datagram Protocol) sau TCP (Transmission Control Protocol) pentru transport majoritatea folosesc modelul clientserver pentru interacţiune

Servicii Internet

Servicii internetminus poşta electronicăminus transferul de fişiere (FTP)minus acces la calculatoarele de la distantă (Telnet SSH)minus distribuirea informaţiei icircn timp real (Chat Web)minus World Wide Web (WWW) - afişarea multimedia oportunităţi de afaceritransmisia rapidă a informaţiei icircntre calculatoareMetode de acces la Internetbull Prin cablundash ISDN (Integrated Services Digital Network) - utilizează liniile telefonice existente

standard internaţional de comunicaţie pentru transmiterea simultană de voce date şi imagine prin intermediul liniei de telefonie digitală ISDN suportă rate de transfer de 64 kbps pe un singur canal

ndash xDSL (Digital Subscriber Line) - utilizează liniile telefonice existente fiind similar cu ISDN integrează serviciile telefonice obişnuite şi accesul la Internet prin utilizarea unui modem xDSL xemple de tehnologii xDSL ADSL(Asymmetric DSL) SDSL (Symmetric DSL) HDSL (High-data-rate DSL) VDSL (Very high DSL) etc

ndash Dial-Up - utilizează un modem şi o linie telefonică standard viteza maximă de transfer este de 56 Kbps

minus Modemul pentru cablu - un tip de modem care oferă accesul la Internet prin infrastructura televiziunii prin cablu (CATV) Cei care au televiziune princablu se pot conecta la Internet avacircnd o conexiune de mare viteză

Modemurile de cablu concurează cu tehnologiile xDSLFără cabluminus Wi-Fi - tehnologie folosită pentru reţele WLAN (Wireless Local Area Network) şi care are

la bază standarde din familia IEEE 80211 Reţelele Wi-Fi operează icircn benzile radio de 24 şi 5GHz avacircnd rate de transfer a datelor cuprinse icircntre 11 şi 54 Mbps icircn funcţie de standardele folosite Prin Wi-Fi o aceeaşi conexiune la Internet poate fi folosită de mai multe dispozitive

Page10

minus WiMax este un standard dezvoltat de IEEE (80216) care permite conexiuni wireless pe o rază de pacircnă la 50 km şi lăţimi de bandă de pacircnă la 70Mbps WiMax oferă o alternativă wireless la ccesul standard icircn bandă largă reducacircnd costurile de implementare icircn zone fără infrastructuri existente

minus Bluetooth - tehnologia este utilizată icircntr-o reţea WPAN (Wireless Personal Area Network) şi are o rază mică de acţiune

POSTA ELECTRONICA

Posta electronicabull agentul utilizator (Mail User Agent - MUA) permite compunerea mesajelor care se

expediază citirea mesajelor recepţionate etc - reprezintă interfaţa cu utilizatorulbull agentul de transport (Mail Transport Agent - MTA) asigură transportul corespondenţei la

distanţăbull agent de predare locală (Local Delivery Agent - LDA) asigură transportul corespondenţei

localeFunctiile generale-compunerea-transferul-afisarea-dipozitiacitireastergereasalvareaprocesarea etc(destinatar)Mesajul-antet cu formatul-linie goala-corpul mesajuluiMIME (Multipurpose Internet Mail Extensions) prin RFC 2045-2049 oferăfacilităţi pentruminus includerea multiplelor obiecte icircntr-un singur mesajminus reprezentarea textelor şi cu alte seturi de caractere decacirct ASCII SUAminus includerea imaginilor sau fragmentelor audio icircn mesajProduse soft cu rol de agent utilizator pt e-mail-oulook express-pegasus-eudoraProtocoale utilizate in serviciul de posta electronicabull SMTP (Simple Mail Transfer Protocol) RFC 2821 defineşte protocolul de comunicaţie

pentru transferul mesajele de poştă electronicăbull Utilizează TCPbull Comenzile şi răspunsurile sunt codificate icircn ASCIIProtocoale utilizate icircn serviciul de poştă electronică pentruaccesul clientului (livrarea finală a mesajelor)minus POP3 (Post Office Protocol)minus IMAP (Interactive Mail Access Protocol)Protocoalele oferă aceleaşi funcţii de bază

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 7: Sinteza retele de calculatoare

Page7

minus NETBEUINetBIOS (NetBIOS Extended User InterfaceNetwork Basic InputOutput System) - NetBIOS NetBEUI protocoale Microsoft

Prin protocol se specificăminus formatul mesajelorminus semnificaţia mesajelorminus reguli de comunicareminus proceduri pentru diverse situaţiibull Un protocol se poate dezvolta prin utilizareaminus diagramelor spaţiu-timpminus diagramelor de tranzacţiibull Descrierea formală a unui protocol de comunicaţie se poate realiza prinminus automatele cu stări finiteminus reţelele PetriSarcinile de comunicaţie pot fi distribuite icircn mai multe modulebull De exemplu transferul de fişiere ar putea utiliza trei module aplicaţia de transfer fişiere serviciul de comunicaţie accesul la reţeaIcircn acest caz modelul conceptual poate fi organizat pe trei niveluri nivel acces la reţea1048633 schimbă datele icircntre calculator şi reţea1048633 furnizează adresa destinaţiei1048633 poate invoca o anumită calitate a serviciului1048633 depinde de tipul reţelei utilizate nivel transport1048633 fiabilitatea datelor transmise1048633 să nu depindă de reţeaua utilizată sau de aplicaţie nivel aplicaţie suport pentru diferite aplicaţii utilizatorbull Cerinţele de adresare acţionează pentru identificarea unui calculator icircn reţea identificarea fiecărei aplicaţii pe un calculator multi-taskingNivelurile pot oferi servicii-orievtate pe conexiune-fara conexiunePrimitivele de serviciu pentru implementarea unui serviciu orientat pe conexiunebull listenbull connectbull receivebull sendbull disconnect

Principiile conceptiei pe niveluri

Principiile conceptiei pe niveluri

Page8

bull un nivel trebuie creat atunci cacircnd un nou nivel de abstractizare este necesarbull fiecare nivel execută o funcţie bine definităbull funcţiile fiecărui nivel trebuie alese prin prisma definirii protocoalelor normalizate

internaţionalbull alegerea frontierelor icircntre niveluri trebuie să minimizeze fluxul de informaţie al

interfeţelorbull numărul de niveluri trebuie să fie suficient de mare pentru a evita coabitarea icircn acelaşi

nivel a funcţiilor foarte diferite şi suficient de mic pentru a evita ca arhitectura să devină dificil de administratModele de referinte OSI-ISO SI TCP-IP

MODELUL DE REFERINTA OSIISO

OSI = Open System InterconnectionISO = International Standards OrganizationNivelul fizic pp gestiunea si exploatarea suporturilor fizice de comunicatie ndash interfete mecanice si electrice

proceduri de receptive si emisie a informatiei binare adaptarea semnalelor la support etcExemplificarea conceptelor- Serviciu schimbul de info intre 2 sisteme conectate printr-o leg fizica- Interfata specifica modul de transmitere a unui bit- Protocol utilizarea schemei de codificare pt reprezentarea unui bit nivel de tensiune durata unui bitNivelul legatura de date genereaza cadrele ce vor fi transmise prin niv fizic asigura detectia si corectia erorilor

de transmisie Exemplificarea conceptelor- Serviciu construirea cadrelor emiterea cadrelor de date alte servicii optionale arbitrarea accesului la

canalul de comunicatie controlul fluxului asigurarea fiabilitatii transmisiei- Interfata emiterea unei unitati de datela o masina conectata la acelasi mediu fizic- Protocol adresarea nivelului implementarea controlului pt accesul la mediu fizicNivelul retea controleaza operatiile din subretea (directioneaza info in traversarea retelei sau retelelor are

capacitatea sa stabileasca sis a intrerupa comunicatii)Nivelul transport accepta datele de la nivelul superior le fragmenteaza in unitati de date care vor fi transmise

nivelului retea controleaza transferul de date punct-la-punct in traversarea reteleiNivelul sesiune realizeaza functiile care sunt necesare ca support al dialogului dintre procese cum ar fi

initializarea sincronizarea si terminarea dialoguluiNivelul prezentare defineste semantic si sintaxa datelor care se vor schimbaNivelul aplicatie ofera utilizatorului serviciile defineste mecanisme si protocoale specific tipurilor de aplicatii

posta electronic transferul de fisiere serviciu web etc

MODELUL DE REFERINTA TCPIP

TCP = Transmission Control ProtocolIP = Internet ProtocolNivelul Acces la retea permit transmiterea datelor catre alte masini conectate la retea protocolul utilizat depinde

de tipul retelei X25 X21 IEEE 802x etcNivelul Internet permite interconectarea reteleor in vederea asigurarii schimbului de date intre 2 statii racordate la

retele diferite Protocolul Internet (IP) este cel mai semnificativ protocaol al acestui nivelNivelul transport transporta datele punct-la-punct intre procesele utilizatoare Principalele protocoale folosite

TCP si UDP (User Datagram Protocol)Nivelul Aplicatie contine protocoale suportate de diferitele aplicatii O aplicatie este un proces utilizator care

coopereaza cu un alt proces de pe aceeasi statie sau de pe alta statie Dintre protocoalele nivelului aplicatie amintim TELNET FTP DNS SMTP SNMP HTTP etcNivelul aplicatie

Page9

Protocoale ale nivelului aplicatie

Protocoale ale nivelului de aplicatie sunt aplicaţii scrise de utilizator sau aplicaţii standardizate şi distribuite cu produsele TCPIP De

exempluminus TELNET (Network Terminal Protocol)minus FTP (File Transfer Protocol)minus SMTP (Simple Mail Transfer Protocol)minus DNS (Domain Name Service)minus SNMP (Simple Network Management Protocol)minus HTTP (HiperText Transport Protocol)utilizează UDP (User Datagram Protocol) sau TCP (Transmission Control Protocol) pentru transport majoritatea folosesc modelul clientserver pentru interacţiune

Servicii Internet

Servicii internetminus poşta electronicăminus transferul de fişiere (FTP)minus acces la calculatoarele de la distantă (Telnet SSH)minus distribuirea informaţiei icircn timp real (Chat Web)minus World Wide Web (WWW) - afişarea multimedia oportunităţi de afaceritransmisia rapidă a informaţiei icircntre calculatoareMetode de acces la Internetbull Prin cablundash ISDN (Integrated Services Digital Network) - utilizează liniile telefonice existente

standard internaţional de comunicaţie pentru transmiterea simultană de voce date şi imagine prin intermediul liniei de telefonie digitală ISDN suportă rate de transfer de 64 kbps pe un singur canal

ndash xDSL (Digital Subscriber Line) - utilizează liniile telefonice existente fiind similar cu ISDN integrează serviciile telefonice obişnuite şi accesul la Internet prin utilizarea unui modem xDSL xemple de tehnologii xDSL ADSL(Asymmetric DSL) SDSL (Symmetric DSL) HDSL (High-data-rate DSL) VDSL (Very high DSL) etc

ndash Dial-Up - utilizează un modem şi o linie telefonică standard viteza maximă de transfer este de 56 Kbps

minus Modemul pentru cablu - un tip de modem care oferă accesul la Internet prin infrastructura televiziunii prin cablu (CATV) Cei care au televiziune princablu se pot conecta la Internet avacircnd o conexiune de mare viteză

Modemurile de cablu concurează cu tehnologiile xDSLFără cabluminus Wi-Fi - tehnologie folosită pentru reţele WLAN (Wireless Local Area Network) şi care are

la bază standarde din familia IEEE 80211 Reţelele Wi-Fi operează icircn benzile radio de 24 şi 5GHz avacircnd rate de transfer a datelor cuprinse icircntre 11 şi 54 Mbps icircn funcţie de standardele folosite Prin Wi-Fi o aceeaşi conexiune la Internet poate fi folosită de mai multe dispozitive

Page10

minus WiMax este un standard dezvoltat de IEEE (80216) care permite conexiuni wireless pe o rază de pacircnă la 50 km şi lăţimi de bandă de pacircnă la 70Mbps WiMax oferă o alternativă wireless la ccesul standard icircn bandă largă reducacircnd costurile de implementare icircn zone fără infrastructuri existente

minus Bluetooth - tehnologia este utilizată icircntr-o reţea WPAN (Wireless Personal Area Network) şi are o rază mică de acţiune

POSTA ELECTRONICA

Posta electronicabull agentul utilizator (Mail User Agent - MUA) permite compunerea mesajelor care se

expediază citirea mesajelor recepţionate etc - reprezintă interfaţa cu utilizatorulbull agentul de transport (Mail Transport Agent - MTA) asigură transportul corespondenţei la

distanţăbull agent de predare locală (Local Delivery Agent - LDA) asigură transportul corespondenţei

localeFunctiile generale-compunerea-transferul-afisarea-dipozitiacitireastergereasalvareaprocesarea etc(destinatar)Mesajul-antet cu formatul-linie goala-corpul mesajuluiMIME (Multipurpose Internet Mail Extensions) prin RFC 2045-2049 oferăfacilităţi pentruminus includerea multiplelor obiecte icircntr-un singur mesajminus reprezentarea textelor şi cu alte seturi de caractere decacirct ASCII SUAminus includerea imaginilor sau fragmentelor audio icircn mesajProduse soft cu rol de agent utilizator pt e-mail-oulook express-pegasus-eudoraProtocoale utilizate in serviciul de posta electronicabull SMTP (Simple Mail Transfer Protocol) RFC 2821 defineşte protocolul de comunicaţie

pentru transferul mesajele de poştă electronicăbull Utilizează TCPbull Comenzile şi răspunsurile sunt codificate icircn ASCIIProtocoale utilizate icircn serviciul de poştă electronică pentruaccesul clientului (livrarea finală a mesajelor)minus POP3 (Post Office Protocol)minus IMAP (Interactive Mail Access Protocol)Protocoalele oferă aceleaşi funcţii de bază

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 8: Sinteza retele de calculatoare

Page8

bull un nivel trebuie creat atunci cacircnd un nou nivel de abstractizare este necesarbull fiecare nivel execută o funcţie bine definităbull funcţiile fiecărui nivel trebuie alese prin prisma definirii protocoalelor normalizate

internaţionalbull alegerea frontierelor icircntre niveluri trebuie să minimizeze fluxul de informaţie al

interfeţelorbull numărul de niveluri trebuie să fie suficient de mare pentru a evita coabitarea icircn acelaşi

nivel a funcţiilor foarte diferite şi suficient de mic pentru a evita ca arhitectura să devină dificil de administratModele de referinte OSI-ISO SI TCP-IP

MODELUL DE REFERINTA OSIISO

OSI = Open System InterconnectionISO = International Standards OrganizationNivelul fizic pp gestiunea si exploatarea suporturilor fizice de comunicatie ndash interfete mecanice si electrice

proceduri de receptive si emisie a informatiei binare adaptarea semnalelor la support etcExemplificarea conceptelor- Serviciu schimbul de info intre 2 sisteme conectate printr-o leg fizica- Interfata specifica modul de transmitere a unui bit- Protocol utilizarea schemei de codificare pt reprezentarea unui bit nivel de tensiune durata unui bitNivelul legatura de date genereaza cadrele ce vor fi transmise prin niv fizic asigura detectia si corectia erorilor

de transmisie Exemplificarea conceptelor- Serviciu construirea cadrelor emiterea cadrelor de date alte servicii optionale arbitrarea accesului la

canalul de comunicatie controlul fluxului asigurarea fiabilitatii transmisiei- Interfata emiterea unei unitati de datela o masina conectata la acelasi mediu fizic- Protocol adresarea nivelului implementarea controlului pt accesul la mediu fizicNivelul retea controleaza operatiile din subretea (directioneaza info in traversarea retelei sau retelelor are

capacitatea sa stabileasca sis a intrerupa comunicatii)Nivelul transport accepta datele de la nivelul superior le fragmenteaza in unitati de date care vor fi transmise

nivelului retea controleaza transferul de date punct-la-punct in traversarea reteleiNivelul sesiune realizeaza functiile care sunt necesare ca support al dialogului dintre procese cum ar fi

initializarea sincronizarea si terminarea dialoguluiNivelul prezentare defineste semantic si sintaxa datelor care se vor schimbaNivelul aplicatie ofera utilizatorului serviciile defineste mecanisme si protocoale specific tipurilor de aplicatii

posta electronic transferul de fisiere serviciu web etc

MODELUL DE REFERINTA TCPIP

TCP = Transmission Control ProtocolIP = Internet ProtocolNivelul Acces la retea permit transmiterea datelor catre alte masini conectate la retea protocolul utilizat depinde

de tipul retelei X25 X21 IEEE 802x etcNivelul Internet permite interconectarea reteleor in vederea asigurarii schimbului de date intre 2 statii racordate la

retele diferite Protocolul Internet (IP) este cel mai semnificativ protocaol al acestui nivelNivelul transport transporta datele punct-la-punct intre procesele utilizatoare Principalele protocoale folosite

TCP si UDP (User Datagram Protocol)Nivelul Aplicatie contine protocoale suportate de diferitele aplicatii O aplicatie este un proces utilizator care

coopereaza cu un alt proces de pe aceeasi statie sau de pe alta statie Dintre protocoalele nivelului aplicatie amintim TELNET FTP DNS SMTP SNMP HTTP etcNivelul aplicatie

Page9

Protocoale ale nivelului aplicatie

Protocoale ale nivelului de aplicatie sunt aplicaţii scrise de utilizator sau aplicaţii standardizate şi distribuite cu produsele TCPIP De

exempluminus TELNET (Network Terminal Protocol)minus FTP (File Transfer Protocol)minus SMTP (Simple Mail Transfer Protocol)minus DNS (Domain Name Service)minus SNMP (Simple Network Management Protocol)minus HTTP (HiperText Transport Protocol)utilizează UDP (User Datagram Protocol) sau TCP (Transmission Control Protocol) pentru transport majoritatea folosesc modelul clientserver pentru interacţiune

Servicii Internet

Servicii internetminus poşta electronicăminus transferul de fişiere (FTP)minus acces la calculatoarele de la distantă (Telnet SSH)minus distribuirea informaţiei icircn timp real (Chat Web)minus World Wide Web (WWW) - afişarea multimedia oportunităţi de afaceritransmisia rapidă a informaţiei icircntre calculatoareMetode de acces la Internetbull Prin cablundash ISDN (Integrated Services Digital Network) - utilizează liniile telefonice existente

standard internaţional de comunicaţie pentru transmiterea simultană de voce date şi imagine prin intermediul liniei de telefonie digitală ISDN suportă rate de transfer de 64 kbps pe un singur canal

ndash xDSL (Digital Subscriber Line) - utilizează liniile telefonice existente fiind similar cu ISDN integrează serviciile telefonice obişnuite şi accesul la Internet prin utilizarea unui modem xDSL xemple de tehnologii xDSL ADSL(Asymmetric DSL) SDSL (Symmetric DSL) HDSL (High-data-rate DSL) VDSL (Very high DSL) etc

ndash Dial-Up - utilizează un modem şi o linie telefonică standard viteza maximă de transfer este de 56 Kbps

minus Modemul pentru cablu - un tip de modem care oferă accesul la Internet prin infrastructura televiziunii prin cablu (CATV) Cei care au televiziune princablu se pot conecta la Internet avacircnd o conexiune de mare viteză

Modemurile de cablu concurează cu tehnologiile xDSLFără cabluminus Wi-Fi - tehnologie folosită pentru reţele WLAN (Wireless Local Area Network) şi care are

la bază standarde din familia IEEE 80211 Reţelele Wi-Fi operează icircn benzile radio de 24 şi 5GHz avacircnd rate de transfer a datelor cuprinse icircntre 11 şi 54 Mbps icircn funcţie de standardele folosite Prin Wi-Fi o aceeaşi conexiune la Internet poate fi folosită de mai multe dispozitive

Page10

minus WiMax este un standard dezvoltat de IEEE (80216) care permite conexiuni wireless pe o rază de pacircnă la 50 km şi lăţimi de bandă de pacircnă la 70Mbps WiMax oferă o alternativă wireless la ccesul standard icircn bandă largă reducacircnd costurile de implementare icircn zone fără infrastructuri existente

minus Bluetooth - tehnologia este utilizată icircntr-o reţea WPAN (Wireless Personal Area Network) şi are o rază mică de acţiune

POSTA ELECTRONICA

Posta electronicabull agentul utilizator (Mail User Agent - MUA) permite compunerea mesajelor care se

expediază citirea mesajelor recepţionate etc - reprezintă interfaţa cu utilizatorulbull agentul de transport (Mail Transport Agent - MTA) asigură transportul corespondenţei la

distanţăbull agent de predare locală (Local Delivery Agent - LDA) asigură transportul corespondenţei

localeFunctiile generale-compunerea-transferul-afisarea-dipozitiacitireastergereasalvareaprocesarea etc(destinatar)Mesajul-antet cu formatul-linie goala-corpul mesajuluiMIME (Multipurpose Internet Mail Extensions) prin RFC 2045-2049 oferăfacilităţi pentruminus includerea multiplelor obiecte icircntr-un singur mesajminus reprezentarea textelor şi cu alte seturi de caractere decacirct ASCII SUAminus includerea imaginilor sau fragmentelor audio icircn mesajProduse soft cu rol de agent utilizator pt e-mail-oulook express-pegasus-eudoraProtocoale utilizate in serviciul de posta electronicabull SMTP (Simple Mail Transfer Protocol) RFC 2821 defineşte protocolul de comunicaţie

pentru transferul mesajele de poştă electronicăbull Utilizează TCPbull Comenzile şi răspunsurile sunt codificate icircn ASCIIProtocoale utilizate icircn serviciul de poştă electronică pentruaccesul clientului (livrarea finală a mesajelor)minus POP3 (Post Office Protocol)minus IMAP (Interactive Mail Access Protocol)Protocoalele oferă aceleaşi funcţii de bază

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 9: Sinteza retele de calculatoare

Page9

Protocoale ale nivelului aplicatie

Protocoale ale nivelului de aplicatie sunt aplicaţii scrise de utilizator sau aplicaţii standardizate şi distribuite cu produsele TCPIP De

exempluminus TELNET (Network Terminal Protocol)minus FTP (File Transfer Protocol)minus SMTP (Simple Mail Transfer Protocol)minus DNS (Domain Name Service)minus SNMP (Simple Network Management Protocol)minus HTTP (HiperText Transport Protocol)utilizează UDP (User Datagram Protocol) sau TCP (Transmission Control Protocol) pentru transport majoritatea folosesc modelul clientserver pentru interacţiune

Servicii Internet

Servicii internetminus poşta electronicăminus transferul de fişiere (FTP)minus acces la calculatoarele de la distantă (Telnet SSH)minus distribuirea informaţiei icircn timp real (Chat Web)minus World Wide Web (WWW) - afişarea multimedia oportunităţi de afaceritransmisia rapidă a informaţiei icircntre calculatoareMetode de acces la Internetbull Prin cablundash ISDN (Integrated Services Digital Network) - utilizează liniile telefonice existente

standard internaţional de comunicaţie pentru transmiterea simultană de voce date şi imagine prin intermediul liniei de telefonie digitală ISDN suportă rate de transfer de 64 kbps pe un singur canal

ndash xDSL (Digital Subscriber Line) - utilizează liniile telefonice existente fiind similar cu ISDN integrează serviciile telefonice obişnuite şi accesul la Internet prin utilizarea unui modem xDSL xemple de tehnologii xDSL ADSL(Asymmetric DSL) SDSL (Symmetric DSL) HDSL (High-data-rate DSL) VDSL (Very high DSL) etc

ndash Dial-Up - utilizează un modem şi o linie telefonică standard viteza maximă de transfer este de 56 Kbps

minus Modemul pentru cablu - un tip de modem care oferă accesul la Internet prin infrastructura televiziunii prin cablu (CATV) Cei care au televiziune princablu se pot conecta la Internet avacircnd o conexiune de mare viteză

Modemurile de cablu concurează cu tehnologiile xDSLFără cabluminus Wi-Fi - tehnologie folosită pentru reţele WLAN (Wireless Local Area Network) şi care are

la bază standarde din familia IEEE 80211 Reţelele Wi-Fi operează icircn benzile radio de 24 şi 5GHz avacircnd rate de transfer a datelor cuprinse icircntre 11 şi 54 Mbps icircn funcţie de standardele folosite Prin Wi-Fi o aceeaşi conexiune la Internet poate fi folosită de mai multe dispozitive

Page10

minus WiMax este un standard dezvoltat de IEEE (80216) care permite conexiuni wireless pe o rază de pacircnă la 50 km şi lăţimi de bandă de pacircnă la 70Mbps WiMax oferă o alternativă wireless la ccesul standard icircn bandă largă reducacircnd costurile de implementare icircn zone fără infrastructuri existente

minus Bluetooth - tehnologia este utilizată icircntr-o reţea WPAN (Wireless Personal Area Network) şi are o rază mică de acţiune

POSTA ELECTRONICA

Posta electronicabull agentul utilizator (Mail User Agent - MUA) permite compunerea mesajelor care se

expediază citirea mesajelor recepţionate etc - reprezintă interfaţa cu utilizatorulbull agentul de transport (Mail Transport Agent - MTA) asigură transportul corespondenţei la

distanţăbull agent de predare locală (Local Delivery Agent - LDA) asigură transportul corespondenţei

localeFunctiile generale-compunerea-transferul-afisarea-dipozitiacitireastergereasalvareaprocesarea etc(destinatar)Mesajul-antet cu formatul-linie goala-corpul mesajuluiMIME (Multipurpose Internet Mail Extensions) prin RFC 2045-2049 oferăfacilităţi pentruminus includerea multiplelor obiecte icircntr-un singur mesajminus reprezentarea textelor şi cu alte seturi de caractere decacirct ASCII SUAminus includerea imaginilor sau fragmentelor audio icircn mesajProduse soft cu rol de agent utilizator pt e-mail-oulook express-pegasus-eudoraProtocoale utilizate in serviciul de posta electronicabull SMTP (Simple Mail Transfer Protocol) RFC 2821 defineşte protocolul de comunicaţie

pentru transferul mesajele de poştă electronicăbull Utilizează TCPbull Comenzile şi răspunsurile sunt codificate icircn ASCIIProtocoale utilizate icircn serviciul de poştă electronică pentruaccesul clientului (livrarea finală a mesajelor)minus POP3 (Post Office Protocol)minus IMAP (Interactive Mail Access Protocol)Protocoalele oferă aceleaşi funcţii de bază

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 10: Sinteza retele de calculatoare

Page10

minus WiMax este un standard dezvoltat de IEEE (80216) care permite conexiuni wireless pe o rază de pacircnă la 50 km şi lăţimi de bandă de pacircnă la 70Mbps WiMax oferă o alternativă wireless la ccesul standard icircn bandă largă reducacircnd costurile de implementare icircn zone fără infrastructuri existente

minus Bluetooth - tehnologia este utilizată icircntr-o reţea WPAN (Wireless Personal Area Network) şi are o rază mică de acţiune

POSTA ELECTRONICA

Posta electronicabull agentul utilizator (Mail User Agent - MUA) permite compunerea mesajelor care se

expediază citirea mesajelor recepţionate etc - reprezintă interfaţa cu utilizatorulbull agentul de transport (Mail Transport Agent - MTA) asigură transportul corespondenţei la

distanţăbull agent de predare locală (Local Delivery Agent - LDA) asigură transportul corespondenţei

localeFunctiile generale-compunerea-transferul-afisarea-dipozitiacitireastergereasalvareaprocesarea etc(destinatar)Mesajul-antet cu formatul-linie goala-corpul mesajuluiMIME (Multipurpose Internet Mail Extensions) prin RFC 2045-2049 oferăfacilităţi pentruminus includerea multiplelor obiecte icircntr-un singur mesajminus reprezentarea textelor şi cu alte seturi de caractere decacirct ASCII SUAminus includerea imaginilor sau fragmentelor audio icircn mesajProduse soft cu rol de agent utilizator pt e-mail-oulook express-pegasus-eudoraProtocoale utilizate in serviciul de posta electronicabull SMTP (Simple Mail Transfer Protocol) RFC 2821 defineşte protocolul de comunicaţie

pentru transferul mesajele de poştă electronicăbull Utilizează TCPbull Comenzile şi răspunsurile sunt codificate icircn ASCIIProtocoale utilizate icircn serviciul de poştă electronică pentruaccesul clientului (livrarea finală a mesajelor)minus POP3 (Post Office Protocol)minus IMAP (Interactive Mail Access Protocol)Protocoalele oferă aceleaşi funcţii de bază

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 11: Sinteza retele de calculatoare

Page11

minus autentificarea utilizatoruluiminus comenzi pentru accesul la cutia poştalăSecuritatea poştei electronice se realizează prin (I) bull PGP (Pretty Good Privacy) versiune free sau comercială ndash protecţia criptografică a

mesajelor de e-mail expediate prin Internet Standardul PGP funcţionează sub diferite sisteme de operare Windows Unix Machintosh) şi este bazat pe algoritmi consideraţi siguri Serviciile oferite de PGP sunt

minus semnătură digitalăminus criptarea mesajuluiminus compresia mesajului pentru stocare sau transmisie (utilizează ZIP)minus segmentarea pentru limitarea dimensiunii maxime a mesajuluiminus compatibilitatea mesajului mesajul criptat poate fi convertit icircntr-un şirASCIISecuritatea poştei electronice se realizează prin (II)bull PEM (Privacy Enhanced Mail) standardul preia un mesaj de poştă electronică şi icirci adaugă

un ldquoambalaj PEMrdquo mesajul rezultat va fi transmis prin infrastructura serviciului de poştă electronică

bull SMIME (SecureMultipurpose Internet Mail Extensions) a fost dezvoltat de către RSA Data Security şi se ocupă de

minus transmisia mesajelor de poştă electronică de tip MIME icircn Internet ndash mesajele fiind semnate electronic şi criptate cu cheie publică

minus definirea unui nou tip de conţinut MIME applicationx-pkcs7-mime Standardul PKCS (Public Key Cryptography Standard) prin specificaţia PKCS7 defineşte structurile de date şi rocedurile pentru semnătura digitală şi criptarea altor structuri de date

minus autentificarea identităţii emiţătorului şi receptorului verificarea integrităţii mesajului şi garantarea confidenţialităţii conţinutului mesajului inclusiv pentru fişierele ataşate

Prin standardele de securitate enumerate se asigurăminus confidenţialitatea informaţiilorminus autentificarea originii scrisorilorminus integritatea mesajelorminus nerepudierea mesajelor

TRANSFERUL DE FISIERE

FTPCaracterisitcibull utilizează TCP pentru nivel transportbull accesul este interactivbull specifică formatul (ASCII sau binar)bull asigură autentificarea (cont utilizator parolă)Constituit dinbull interpretor de protocol (PI - protocol interpreter)bull un proces pentru transferul datelor (data transfer process ndash DTP)bull interfaţă utilizatorPrincipalele operaţii ale unui produs FTP (tip comandă sau cu interfaţa

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 12: Sinteza retele de calculatoare

Page12

grafică) suntbull Deschiderea unei conexiuni pe un server FTP la distanţă (open)bull Vizualizarea conţinutului directoarelor de pe server (dir)bull Schimbarea directoarelor (cd)bull Controlul transferului ASCII şi binarbull Copierea unuia sau mai multor fişiere de pe un server de la distanţă pe uncalculator local (get mget)bull Copierea unuia sau mai multor fişiere de pe un calculator local pe un server ladistanţă (put mput)bull Icircnchiderea unei sesiuni FTP (bye sau quit)

WEB

Elementele de bază la care serviciulWeb face apel suntbull URL (Universal Resource Locators) - permite identificarea resurselor din Internet

[URI (Universal Resource Identifier) ndash identificarea prin tip şi poziţie a unei resurse aflată oriunde icircn nternet Mulţimea adreselor URI cuprinde adresele URL şi adresele URN (Universal Resource Name) URN schema prin care resursele sunt identificate icircn mod unic

bull HTTP (HyperText Transfer Protocol) - permite comunicarea icircntre serverul şi navigatorulWeb

bull HTML (HyperText Markup Language) - permite crearea documentelor hipertextServerul Web reprezintă sistemul pe care rulează un software ce are ca scop principal

distribuţia informaţiei stocate sub forma unor documenteExemplu de servere Webbull httpd NCSA (National Computer Security Association)bull Apachebull Zeusbull IIS (Internet Information Server)bull PWS (Personal Web Server)Serverele vor fi suport pentrubull eliberarea documentelor de pe server către client cacircnd documentul este solicitatbull appleturi scrise icircn Javabull scripturi pe partea de serverbull maparea imaginilor clicabilebull abilitatea de a restricţiona accesul la arborele documentelorLa selectarea serverului web se va tine cont de1048633 sistemele de operare acceptate - de fapt acesta este unul dinprincipalele criterii pentru selectarea unui server1048633 performanţe uşurinţa de utilizare stabilitatea mediul deprogramare suportul tehnic preţ1048633 facilităţi de administrarebull interfaţă utilizator graficăbull instrumente pentru măsurarea performanţelor şi icircntreţinerea de ladistanţă

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 13: Sinteza retele de calculatoare

Page13

bull SNMP şi agenţi1048707Elementele suplimentare de comunicaţiebull hosturi virtuale acceptă găzduirea mai multor site-uri webindependente pe aceeaşi maşină (pe lacircngă hard soft şicomunicaţii găzduirea virtuală poate include asistenţă pentruicircnregistrarea numelor de domeniu alegerea adreselor de e-mailetc)bull servicii de proxy poate procesa cererile pentru URL-uri de pemaşinile de la distanţă (proxy - software-ul care rulează pe uncalculator şi acţionează ca o barieră icircntre reţea şi Internetprezentacircnd o singură adresă de reţea spre exterior)bull suport pentru alte protocoale decacirct HTTP FTP TELNET etc1048633 suportul pentru securitatebull controlul accesului diferite niveluri de prioritatebull administrarea parolelor de accesbull criptarea SSL (Secure Sockets Layer)Conceptul de host virtual icircn cazul serviciului Web se referă la practica de icircntreţinere a mai

multor domenii pe un singur serverServerul HTTP de pe un host poate fi configuratbull multiple domenii utilizate pe un server HTTPbull multiple domenii utilizate pe servere HTTP multiple unul pentru fiecaredomeniubull o combinaţie a celor două metodeUn proxy server este situat icircntre o aplicaţie client cum ar fi un navigatorweb şi un server realUtilizarea icircntr-o reţea a serverelor proxy are ca scopbull opţinerea de performanţăbull creşterea de securitate şi confidenţialitateUn server proxy poate fi folosit pentru monitorizarea şi filtrarea cererilor trimise şi

recepţionate sau ca un singur punct de acces pentru comunicaţiile cu alte reţeleProxy poate include facilităţi de securitate suplimentare cum ar fibull criptarea paginilor webbull protecţia faţă de cookiesbull ştergerea scripturilor şi a altor coduri executabile (ActiveX Java etc) incapsulate icircn

paginile web şi e-mailPlanul pentru exploatarea unui server Web trebuie să ia icircn considerare (I)bull Identificarea obiectivelor de utilizare a serveruluiWeb1048633 categoriile de informaţii stocate pe server1048633 categoriile de informaţii prelucrate şi transmise prin serverulWeb1048633 cerinţele de securitate pentru informaţii1048633 dacă există informaţie preluată de la sau stocată pe un alt host (de exempluserver de baze de date server de poştă electronică)1048633 cerinţele de securitate pentru hosturile implicate1048633 alte servicii oferite prin serverul Web (dacă serverul Web trebuie să se

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 14: Sinteza retele de calculatoare

Page14

execute pe un host dedicat)1048633 cerinţele de securitate pentru serviciile suplimentarebull identificarea utilizatorilor şi a categoriilor de utilizatori care vor avea acces la

serverulWeb şi la hosturile suportbull determinarea privilegiilor fiecărei categorii de utilizatoribull se va decide dacă şi cum utilizatorii vor fi autentificaţi şi cum datele de autentificare vor fi

protejatebull se determină modul de accesare a resurselor informaţionale alocateControlul accesului prin IISbull clientul solicită o resură de pe serverbull serverul cere informaţiile de autentificare ale clientului (de exemplu nume utilizator şi

parolă)bull IIS verifică dacă utilizatorul are permisiuni Web alocate pentru resursa solicitată Dacă nu

are drepturi primeşte mesajul 403 Access Forbiddenbull IIS verifică drepturile sistemului de fişiere pentru resursă Dacă utilizatorul nu are

permisiuni NTFS pentru resursă va fi generat mesajul 401 Access DeniedldquoPermisiunile Web suntbull Read (selectat icircn mod implicit) ndash utilizatorii vizualizează conţinutul şi proprietăţile

fişieruluibull Write utilizatorii au posibilitatea să modifice conţinutul şi proprietăţile fişieruluibull Script Source Access utilizatorii au posibilitatea să acceseze fişierele sursă Dacă este

selectat Read ndash codul sursă poate fi citit dacă este selectat Write atunci codul sursă poate fi modificat

bull Directory browsing utilizatorii pot vizualiza listele şi colecţiile de fişierebull Log visits o intrare este creată pentru fiecare vizită la site-ul Webbull Index this resource permite indexarea resurseiPermisiunile sistemului de fişiere (NTFS)bull Full Control utilizatorii pot modifica adăuga muta şi şterge fişiere şi proprietăţile lor

precum şi directoarele Icircn plus pot schimba permisiunile pentru toate fişierele şi subdirectoarele

bull Modify utilizatorii pot vizualiza şi modifica fişiere şi proprietăţile lorbull Read amp Execute utilizatorii pot executa fişiere incluzacircnd scripturibull List Folder Contents utilizatorii pot vizualiza o listă cu fişierele unui directorbull Read utilizatorii pot vizualiza fişierele şi proprietăţile lorbull Write utilizatorii pot scrie icircntr-un fişierbull No Access utilizatorii nu au acces la resursăHelper ndash program local apelat prin navigatorul Web pentru afişarea informaţiei dintr-un alt

format decacirct text sau imagini simple De exemplu dacă fişierul receptionat de pe un server Web are antetul MIME applicationzipva apela programul winzip

Plug-in - program ce poate fi simplu instalat si utilizat icircn vederea extinderii facilităţilor altui program sau aplicaţie

Exemple Adobe Acrobat Macromedia ShockwaveSecurizarea browser-elor Web se realizează prinbull Configurarea browser-ului pentru a limita sau a nu accepta plug-in-uri

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 15: Sinteza retele de calculatoare

Page15

bull Configurarea browser-ului pentru a limita ActiveX Java şi JavaScriptNavigatoareleşi serverele Web comunică prin protocolul HTTPbull Caracteristici ale HTTPminus funcţionează după modelul cerererăspunsminus utilizează TCP ca protocol al nivelului transportminus transfer bidirecţionalminus capacitate de negociere (codificare setul de caractere limba)minus suport pentru intermediereModul de operare a protocolului HTTPminus clientul deschide o conexiune la serverul HTTP (port 80 icircn mod obişnuit)minus clientul generează comanda prin emiterea unei cereri către serverminus serverul răspunde şi icircnchide conexiunea (HTTP 10 icircnchide conexiunea după transferul

fişierului HTTP 11 păstrează conexiunea deschisă pentru mai multe cereri)Cererea clientului conţinebull metoda folosităo GET POST ndash returnează conţinutul documentului indicato HEAD ndash returnează numai antetul documentuluio PUT- icircnlocuieşte conţinutul unui document cu datele trimiseo DELETE- şterge documentul indicatbull partea de cale a URL-ului HTTP de exemplu ~ionescuindexhtmlbull numărul de versiune pentru protocolul HTTPbull antet opţional (tipul MIME acceptat tipuri de fişiere acceptate scheme de autorizare

opţiuni de conectare etc)bull linie goalăbull datele trimise de client (pentru POST sau PUT)Răspunsul serverului includeminus versiunea protocolului HTTPminus Starea codului se specifică prin trei cifreo 200-299 tranzacţie icircncheiată cu succeso 300-399 documentul a fost mutato 400-4999 eroare client 404 Not Foundo 500-599 eroare pe serverul internminus antet lungimea fişerului tipul conţinutului (tipul şi subtipul MIME) ultima modificare

data de expirare etcminus linie goalăminus datele documentuluibull Serverul poate formata eroarea ca un mesaj HTML pentru utilizator sau utilizează un

format intern şi apoi navigatorul formateză mesajulForma standardizată a unui URL (Universal Resource Locators) conţinebull protocolul de schimbbull nume_hostbull directorulfişierulInformaţiile eliberate prin Web pot fibull documente HTML (html sau htm) sau XML (xml)

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 16: Sinteza retele de calculatoare

Page16

bull texte ASCII (txt)bull documente performante cum ar fi PostScript (ps)bull imagini fixe sub diferite reprezentări GIF JPEG TIFFbull icircnregistrări sonore icircn format AU sau AIFFbull filme icircn format QuickTime (mov) sau MPEG (Motion Picture Experts Group)bull reprezentarea VRML a unei scheme tridimensionalebull un microprogram sau ldquoappletrdquo JavaDescriere a unui site Web se poate face pe niveluri distinctebull model structural (conţinutul datelor)bull modelul conţinutului (paginile pe care le conţine)bull modelul de navigare (topologia legăturilor dintre pagini)bull modelul de prezentare (cerinţele grafice şi de aranjare pentru paginile transmise)bull modelul de personalizare (sunt incluse prezentările clienţilor)

Protocoale de nume si directoare DNS SI LDAP

Nivelul transport

Nivelul transport realizeaza nivelul superior al serviciilor care se ocupa cu transferul informatiilor El realizează comunicaţia punct-la-punct sigură şi eficientă icircntre procesele care se execută pe maşini situate la distanţă

Principalele funcţii ale nivelului transport suntbull stabilirea şi eliberarea conexiunii transportbull transferul unităţilor de date normale şi specialebull translatarea adresă transport - adresă reţeabull numerotarea TPDU (Transport Protocol Data Unit) secvenţierea unităţilor de dateale protocoluluibull reglarea fluxuluibull detectarea erorilor şi supravegerea calităţii serviciuluibull reluarea icircn caz de eroarebull realizarea multiplexării pe conexiunile de transportbull segmentarea gruparea concatenareaUDP este utilizat ca un multiplexordemultiplexor pentru emiterea şi recepţionarea datagramelorbull UDP oferă un serviciu de transmisie a datagramelorminus fără conexiuneminus nefiabilminus nu deţine nici un mecanism pentru controlul fluxului sau recuperareaerorilorbull UDP nu garantează corectitudinea transmisiei datagramele pot ajunge la destinaţie icircn mod neordonat

duplicate sau nu ajung Fiecare datagrama UDP este emisa intr-o singura datagrama IPbull UDP se utilizează icircn transmisiile broadcast şi multicast

Structura unui datagrame UDP conţinebull Portul sursă ndash identifica numărul de port al procesului emitor

(16 biți) si reprez portul ce va fi adresat in raspunsbull Portul destinaţie - numărul de port al procesului de pe hostul

destinaţie (16 biți)

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 17: Sinteza retele de calculatoare

Page17

bull Lungimea - dimensiunea datagramei (icircn octeţi)bull Suma de control este opţională și se utilizează pentru verificarea integrității datele recepționate (16

biţi)bull Datele UDP urmează antetuluibull UDP este protocolul preferat de aplicaţiile ce nu necesită garantarea livrării pachetelor UDP fiind mai

rapid şi eficient decacirct TCP

Interfata de aplicatie oferita prin UDP este decrisa in RCF 768 si permite Crearea porturilor receptie Operatia de receptie ce returneaza octetii de date si identif portul sursa si adr Ip a sursei Operatia de emisie care are ca parametrii datele proturile sursa si destinatie adr IP ale

sursei si destinatieiDeoarece protocoalele UDP si IP nu granteaza livrarea datelor cotrolul fluxului sau recuperarea erorilor

este necesar ca aceste operatii sa se realizeze prin nivelul aplicatie

bull Aplicaţiile standard care utilizează UDP sunt

minus TFTP (Trivial File Transfer Protocol)minus DNS (Domain Name System)minus RPC (Remote Procedure Call) utilizat de NFS (Network File System)minus SNMP (Simple Network Management Protocol)minus LDAP (Lightweight Directory Access Protocol)TCP asigură un serviciu orientat pe conexiune pentru transmisia fiabilă a datelor cu detectarea erorilor

şi controlul fluxuluiTCP este utilizat de majoritatea protocoalelor nivelului aplicaţie cum ar fi HTTP SSH Telnet FTP

etcProtocolul TCP realizeazăbull conexiunea logică - fiecare conexiune este identificată unic printr-o pereche de socketuri utilizate de

procesele de emisie şi recepţiebull transferul fluxului de datebull fiabilitatea transmisieibull controlul fluxului de datebull multiplexarea ndash prin utilizarea porturilorTCP - grupează octeţii icircn segmente TCP Segmentele TCP sunt icircncapsulate icircn datagrame IP pentru a fi

transmise prin reţea la destinaţie Pentru garantarea fiabilităţii TCP asociază un număr de secvenţă fiecărui octet transmis şi aşteaptă o confirmare (acknowledgment - ACK) pozitivă de la receptorul TCP

Pentru mărirea debitului se utilizează conceptul de fereastră glisantă- grupe de pachete vor fi transmise respectacircnd următoarele reguli

bull emitorul transmite toate pachetele dintr-o fereastră fără a mai aştepta onfirmarea după fiecare dar se iniţializează cacircte un contor pentru fiecare pachet

bull receptorul confirmă fiecare pachet primit indicacircnd numărul de secvenţă al ultimului pachet recepţionat corect

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 18: Sinteza retele de calculatoare

Page18

bull emitorul glisează fereastra pentru fiecare mesaj de confirmare recepţionat

Mecanismul de fereastră glisantă garanteazăbull fiabilitatea transmisieibull o mai bună utilizare a lăţimii de bandă prin negocierea debitului fluxului de datebull controlul fluxului prin redimensionarea ferestrei glisante - dacă icircn reţea are loc fenomenul de congestie

dimensiunea ferestrei se poate reduce

Ce este congestiaminus congestia icircn reţea apare cacircnd un nod (sau o legătură) este icircncărcat mai multdecacirct poate suporta determinacircnd deteriorarea calităţii serviciului exemplu rataintrărilor unui router este mai mare decacirct rata ieşirilorbull Care sunt efectele congestieiminus icircntacircrzieriminus pierderibull Controlul congestiei presupune două sarciniminus detectarea congestieiminus limitarea ratei de emiterebull Icircn situaţia de congestie timpul de transmisie este mai mare decacirct icircn mod normalbull Deoarece confirmarea de primire icircntacircrzie unele pachete pot fi retransmise

Serviciu duplex = prin conexiunile TCP se realizeaza transmisii ale fluxurilor de date in ambele directii in acelasi timp

Structura unui segment TCP include următoarele cacircmpuribull Portul sursă şi portul destinaţiebull Număr secvenţă reprezintă numărul alocat primului octet de date din segment (32 de biţi) De exemplu

presupunem că pe o conexiune TCP se transferă un fişier de 3000 de octeţi prin trei segmente (fiecare segment are 1000 de octeți) Dacă primul octet este numerotat cu 10 010 numerele de secvenţă pentru segmente vor fi

Segment 1 10 010 (10 010 la 11 009)Segment 2 11 010 (11 010 la 12 009)Segment 3 12 010 (12 010 la 13 009)bull Număr confirmare - numărul de secvenţă pentru următorul octet de date pe care receptorul aşteaptă să-l

primească (32 de biţi)bull Lungime antet - numărul de cuvinte a 32 de biţi din antetul unui segment TCPbull Zona indicatorilor (şase biţi)bull Dimensiunea ferestrei - număr de octeţibull Suma de control - permite hostului destinaţie să detecteze eventualele eroribull Indicator urgenţă - specifică ultimul octet de date urgentebull Cacircmpul Opţiuni - include anumite facilităţi care nu au fost consemnate icircn antetStabilirea unei conexiunii TCP necesită o fază de negociere icircn trei paşibull TCP client solicită stabilirea unei conexiuni - emite o cerere de sincronizare şi un număr iniţial de

secvenţă SYN Nr secvenţă=nbull TCP server confirmă cererea de conexiune dar cere clientului sincronizarea cu numărul său iniţial de

secvenţă SYN Nr secvenţă=m ACKn+1bull TCP client confirmă cererea de sicronizare a serverului prin ACKm+1bull Protocoalele nivelului transport TCP şi UDP sunt limitate icircn cazul noile aplicaţii (de exemplu IPTV

VoIP etc)

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 19: Sinteza retele de calculatoare

Page19

bull Pentru utilizarea aplicaţiilor multimedia de cele mai multe ori icircn timp real vor fi apelate protocoale ca

minus SCTP (Stream Control Transmission Protocol)minus RTP (Real-Time Transport Protocol) ndash se ocupă de transportul pachetelor de date icircn timp realminus RTCP (Real-Time Control Protocol) ndash monitorizează calitatea serviciului oferită pe o sesiune RTP

existentă

RTP (Real-Time Transport Protocol) icircn stiva de protocoaleRTP realizează funcţiile pentru sincronizarea fluxurilor de date multimedia Daca aplicatia multimedia

nu utilizeaza servicii RTP receptorul paote sa nu fie capabil sa asocieze pachetele video sau audio in mod corespunzator

In practica aplicatiile multimedia utilizeaza RTP impreuna cu UDP RTP este deseori implementat pt a suporta aplicatiile multi-destinatie (multicast) Protocolul RTP nu include nici un mecansim prin care sa garanteze eliberarea sau alte functii legate de calitatea serviciului

RTP oferă servicii de transport end-to-end aplicaţiilor prin transmiterea in timp realbull identificarea tipului de date ndash date video sau audio şi schema de codificare bull numărarea secvenţelor ndash este utilizat de hostul RTP pentru reconstituirea ordinii iniţiale a pachetelor

este incrementat cu 1pt fiecare pachet RTP emisbull marcarea timpului ndash pentru sincronizarea pachetelor Marcarea de timp reprezinta momentul de

esantionare a primului octet din pachetul de date RTP Este posibil ca mai multe pachete RTP consecutive sa aiba aceeasi marca de timp

Pentru a preveni fluctuatiile se poate aplica marca de timp pachetelor si se separa timpul de receptie de cel de afisare In acest caz va fi necesar un buffer pt stocarea datelor receptionate

RTCP (Real-Time Control Protocol) oferă informaţii despre calitatea distribuţiei datelor RTPProtocolul are la baza transmisia periodica a pachetelor control tuturor participantilor dintr-o sesiune

Informatia de control oferita de fiecare client este utilizata pt diagnosticarea erorilor distribuite Prin inregistrarea si analizarea informatiilor de control furnizorul serviciilor de retea poate determina daca situatia de eroare se manifesta local sau la distanta

bull RTCP utilizează o conexiune UDP pt comunicareAplicaţiile icircn timp real furnizează suport pentru videoconferinţe telefonie IP sau trafic media ca de

exemplu Real-Time Streaming Protocol (RTSP) QuickTime RealAudio şi RealVideo NetMeeting CU-seeMe IPTV

bull SCTP (Stream Control Transmission Protocol - RFC 2960) este un protocol pentru transportulfiabil folosit icircn aplicaţiile multimediabull SCTP operează icircmpreună cu IPv4IPv6 şi se regăseşte la acelaşi nivel ca TCP şi UDPbull SCTP deţine funcţii pentruminus managementul asocierilorminus livrarea mesajelorminus validarea pachetelorminus fragmentarea mesajelorminus managementul legăturilorbull SCTP furnizează noi facilităţi serviciului de transportminus Oferă serviciu de transmisie fiabilă punct-la-punct icircn reţelele IP fiind posibilă retransmiterea rapidă a

pachetelor pierdute (pierderea unui pachet se determină prin utilizarea confirmării selective - SACK selective acknowledgement - şi a unui mecanism care emite mesajele SACK mult mai rapid decacirct icircn mod normal)

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 20: Sinteza retele de calculatoare

Page20

minus Suport pentru hosturi cu multiple legături (multihoming)minus Suport pentru multiple stream-uri pe o legătură (voce imagine text)minus Protocol orientat pe mesajeminus Opţiunea de livrare neordonată a datelor poate livra datele ordonat sau neordonatminus Evitarea şi controlul congestieiSCTP Multihomingbull Multiple adrese IP pe hostbull Toleranţă mai mare la defectarea reţelelorDatele transmise prin Internet permit identificarea unui proces de la distanţă prinbull adresa IP ndash identifică un calculatorbull portul ndash identifică o aplicaţiePortul este un număr pe 16 biţi utilizat prin protocoalele host-la-host pentru a identifica protocolul de

nivel superior sau procesul aplicaţie căruia trebuie să-i transmită mesajele sosite Există două tipuri de porturibull porturi bine-cunoscute rezervate serverelor standard (de exemplu Telnet utilizează portul 23)

Numerele de port bine-cunoscute sunt cuprinse icircntre 1 şi 1023 Porturile cunoscute sunt controlate şi alocate prin IANA (Internet Assigned Number Authority)

bull porturi efemere fiecare proces client are alocat un număr de port atacircta vreme cacirct este necesar hostului care-l execută Numerele de porturi efemere au valori mai mari de 1023 icircn mod normal sunt cuprinse icircntre 1024 şi 65535

Socket-ul este punctul terminal al unui canal de comunicaţie interprocese Fiecare dintre cele două procese stabilesc propriul socket

Interfaţa socket este una dintre interfeţele de programare a aplicaţiilor din reţeaCacircnd se utilizează socket-urile se are icircn vedere următoarelebull Un socket este un tip special de descriptor de fişierbull O adresă de socket conţine tripletul ltprotocol adresa_locală proces_localgt

Tipurile de interfeţe socketbull tipul stream serviciu orientat pe conexiune - oferă un canal de comunicaţie bidirecţional secvenţial şi

sigur mesajele transmise ajung sigur la destinaţiebull tipul datagram serviciu fără conexiune - asigură tot un canal bidirecţional nu se garantează

recepţionarea meseajelor transmisebull tipul raw serviciu de acces direct la protocoalele de nivel inferiorbull Apeluri socket de bazăminus socket() crearea unui socketminus bind() se asociază unui socket o adresăminus listen() socketul este gata să asculte cererile de conectareminus accept() serverul poate accepta cererile care sosescbull Pentru recepţionarea şi transmisia datelor read() readv()recv() readfrom() send() şi write()

Nivelul reţea

Nivelul reţea este responsabil cu transferul transparent al datelor icircntre entităţile nivelurilor transport ale celor două staţii care comunică

Serviciile nivelului reţea au fost proiectate icircn aşa fel icircncacirctbull să fie independente de tehnologia subreţeleibull nivelul transport trebuie să fie independent de numărul tipul şi topologia subreţelelor existente

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 21: Sinteza retele de calculatoare

Page21

bull adresele de reţea accesibile prin nivelul transport trebuie să folosească o schemă de numerotare uniformă (atacirct icircn reţele LAN cacirct şi cele WAN)

Principalele funcţii ale nivelului reţeabull Interconectarea reţelelorbull Dirijarea pachetelor de la maşina sursă către maşina destinaţiebull Controlul congestiei ndash icircntr-o subreţea apare fenomenul de congestie cacircnd numărul pachetelor emise

depăşeşte capacitatea de transport La un trafic intens performanţele se deteriorează şi este posibil ca la un moment dat pachetele să nu mai ajungă la destinaţie

Mulţimea reţelelor interconectate este denumită internetwork sau internetProbleme ale interconectăriibull protocoale folositebull scheme diferite de adresarebull mărimea maximă a pachetelorbull limitarea icircn timp a anumitor operaţii poate varia de la o reţea la altabull subreţelele pot realiza diferite tipuri de servicii şi niveluri ale calităţiibull subreţelele pot avea mecanisme de protecţie diferitebull subreţelele pot utiliza diferite metode de rutarebull diagnosticarea depanarea şi icircntreţinerea pot varia de la o reţea la altabull problemele de contabilizareTehnica de interconectare

bull Conversia de serviciu intervine cacircnd nivelurile inferioare ale subreţelelor sunt diferite dar comparabile

bull Concatenarea serviciilor se aplică atunci cacircnd protocoalele nivelului de interconectare sunt identice dar utilizează diferite contexte şi valori ale parametrilor

bull Conversia de protocoale acţionează direct asupra unităţilor de date ale protocoluluibull Icircncapsularea - icircmpachetarea fiecărei unităţi de date la emisieextragerea unitatăţilor de date la

recepţieDispozitive de interconectare

bull Repetor (nivel fizic) se utilizează pentru regenerarea semnalului transmis Repetorul care deţine mai mult de două porturi este cunoscut sub numele de hub După modul cum acţionează huburile pot grupate icircn trei categorii huburile pasive huburile active huburile inteligente Huburile se mai numesc concentratoare

Dispozitive de interconectare

bull Bridge sau punte (nivel legătura de date) se utilizează pentru a conecta două reţele similare- punţi transparente - utilizează numai adresa destinaţie a cacircmpului MAC pentru a decide dacă

un cadru este eliminat sau transmis mai departe- punţi cu rutarea prin sursă - utilizează un cacircmp special pentru a determina ruta- puntea cu mai multe porturi este denumită switch

bull Ruterul (nivel reţea) are rolul de a stoca şi a transmite pachete icircntre reţele cu arhitecturi diferite - translatează adrese şi formate de pachete direcţionează pachete el este conectat la mai multe reţele

bull Brouter-ul deţine atacirct funcţiile unei punţi cacirct şi ale unui ruterbull Pasarela (gateway) reprezintă un dispozitiv careminus se utilizează pentru interconectarea reţelelor cu arhitecturi diferite de exemplu un LAN Ethernet cu o

reţea SNA

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 22: Sinteza retele de calculatoare

Page22

minus poate opera la nivelurile superioare ale modelului de referinţă OSI (prezentare sesiune aplicaţie)minus se concentrează asupra conţinutului transmisiei - de exemplu poate face conversia din ASCII icircn

EBCDIC criptarea sau decriptarea datelor icircntre sursă şi destinaţieminus de obicei este un calculator dedicat ce are capacitatea să suporte ambele medii conectateminus oferă diverse servicii formatarea pachetului şisau conversia mărimii conversia protocoluluitranslatarea datelor multiplexareaFuncţiile de bază ale protocolului IP sunt

bull Definirea unităţilor de bază pentru transmisiile pe Internet (datagrama)bull Definirea planului de adresare Internetbull Circulaţia datelor icircntre nivelul acces reţea şi nivelul transport pentru fiecare staţie bull Direcţionarea unităţilor de date către calculatoarele de la distanţăbull Fragmentarea şi reasamblarea unităţilor de datebull Versiunea (4 biţi) - versiunea IPv4

bull IHL (Internet Header Length) - lungimea antetului datagramei (exprimată icircn cuvinte de 32 biţi)bull Tip serviciu - indicator asupra parametrilor de calitate a serviciuluibull Lungimea totală - lungimea datagramei exprimată icircn octeţi include antet şi datebull Identificare (16 biţi) permite identificarea diferitelor fragmente care fac obiectul unei reasamblări de

către o entitate receptoarebull Indicatorii ndash intervin icircn cazul fragmentării datagrameibull Offset Fragment (codificat pe 13 biţi) indică poziţia relativă a datelor conţinute icircn această datagramă

icircn raport cu prima datagramă emisăbull Timpul de viaţă reprezintă un contor prin care se limitează durata de viaţă a datagrameibull Protocol identifică protocolul de nivel superior care va fi utilizator pentru cacircmpul de date aldatagrameibull Suma de control antet este o secvenţă de control pe 16 biţi calculată numai pentru antetul

datagramei şi permite să se verifice că informaţia utilizată pentru tratarea datagramei a fost transmisă icircn mod corect

bull Adresa sursă destinaţie adresele Internet ale sursei respectiv destinaţieibull Opţiunile sunt folosite ca funcţii de control icircn anumite situaţii (securitate dirijare icircnregistrarea ruteibull Fragmentarea dacă icircntr-o subreţea unitatea de transmisie maximă este mai mică decacirct dimensiunea

pachetului IP recepţionatbull Fragmentarea poate fi realizată de ruterebull Un pachet IP original poate fi fragmentat de multiple ori pe traseul spre destinaţieCacircmpul Identificare al pachetului IPbull Host-ul sursă plasează un număr icircn cacircmplu Identificarebull Valoarea este diferită pentru fiecare pachet IP emis de sursăbull Dacă ruterul fragmentează pachetul va păstra valoarea originală a cacircmpului Identificare pentru fiecare

fragment

Opţiunibull securitatea - se menţionează cacirct de secretă este datagramabull dirijarea strictă pe baza sursei - este specificată calea completă care va fi urmatăbull dirijarea aproximativă pe baza sursei - sunt enumerate ruterele care nu trebuie omisebull icircnregistrarea rutei - fiecare ruter icircşi adaugă adresa sa IPbull amprenta de timp - fiecare ruter icircşi adaugă adresa sa şi o amprentă de timp

bull Standardele pentru adresarea IPv4 sunt descrise icircn RFC 1166

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 23: Sinteza retele de calculatoare

Page23

Adresa IP = ltnumăr_reţeagt lt număr_hostgt- număr_reţea este componenta adresei IP unică icircn Internet- număr_host icircn cadrul reţelei este stabilit de administratorul de reţea fiind unic lanivel localbull Cacircmpul număr_reţea din adresa IP este administrat icircn prezent prin unul din cele cinci registre

regionale Internet (Regional Internet Registries - RIR)ARIN (American Registry for Internet Numbers)RIPE NCC (Reseaux IP Europeens Network Coordination Centre)APNIC (Asia Pacific Network Information Centre)LACNIC (Latin American and Caribbean Internet Address Registry)AfriNIC (African Network Information Centre)Adresa IPv4 se reprezintă printr-un format zecimal cu punct n1n2n3n4Formatul binar al adresei 128279 este 10000000 00000010 00000111 00001001

Crearea subreţelelor are ca scopbull interconectarea reţelelor eterogene din punct de vedere fizicbull filtrarea traficului dintre reţelebull simplificarea administrăriibull recunoaşterea unor structuri organizaţionalebull separarea traficului icircn funcţie de organizaţieMăştile implicite pentru reţelele cu adrese din clasa A B şi C cunoscute sub denumirea de măşti

naturale suntClasa A 255000Clasa B 25525500Clasa C 2552552550Uneori adresa IPv4 a unei plăci de interfaţă este specificată prin notaţia adresa_IPmasca (exemplu

19219214113228)minus adresa_IP constituie adresa IP icircn acest caz 192192141132minus masca reprezintă valoarea pentru mască primele cifre binare setate pe 1 icircn acest caz primele 28 cifre

binare (255255255240)

CIDR (Classless InterDomain Routing) - dirijarea fără clase icircntre domenii este descrisă icircn RFC-urile 1518 la 1520 Fiecare intrare icircn tabela de rutare CIDR conţine

ltadresă IP masca_de_reţeagt care icircmpreună dau lungimea şi valoarea prefixului IP

Exemplu - pentru alocarea unui bloc de opt adrese de clasă C este suficient să se specifice icircn tabela de rutare o singură intrare lt192321360 2552552480gt Prin aceasta se face referire la adresele de reţele 192321360 la 192321430 ca la o singură reţea

Adrese IP private (RFC 1918 ndash Address Allocation for Private Internets) - pentru reţelele Intranet care nu solicită conectare la Internet

bull 10000 - o singură reţea de clasă Abull 1721600 la 1723100 -16 reţele de clasă Bbull 19216800 la 1921682550 - 256 reţele de clasă CTranslatarea adresei de reţea (Network Address Translation - NAT) - se asociază adreselor IP interne

anumite adrese IP alocate oficial (separă o adresă locală de cea globală) se maschează adresele folosite icircn reţeaua internă

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 24: Sinteza retele de calculatoare

Page24

bull IPng (Next Generation Internet Protocol) este o nouă versiune pentru Internet Protocol conceput ca un succesor pentru versiunea IPv4

bull IPng are alocat numărul 6 pentru noua versiune IP şi este icircn mod formal numit IPv6bull Obiectivele majore avute icircn vedere la proiectarea IPv6- suport pentru adresarea a miliarde de calculatoare și diverse dispozitive la nivel global

inclusiv telefoane mobile PDA-uri vehicule cu suport IP electrocasnice şi multe altele- reducerea dimensiunii tabelelor de dirijare

bull Obiectivele majore avute icircn vedere la proiectarea IPv6 (continuare)- simplificarea protocolului pentru a permite ruterelor să proceseze pachetele mai rapid- asigurarea unei securități mai bune (autentificare şi confidenţialitate) faţă de IPv4- acordarea unei mai mari atenţii tipului de serviciu icircn special pentru datele transmise icircn timp

real- crearea condiţiilor pentru ca o gazdă să poată migra fără schimbarea adresei sale- evoluţia protocolului icircn viitor- coexistenţa vechiului şi noului protocol

Icircn comparație cu IPv4 IPv6 are urmatoarele avantaje bull Managementul și delegarea adreselor devine mai ușoarăbull Autoconfigurarea ușoară a adreselorbull IPsec icircncorporatbull Rutare optimizatăbull Depistarea adreselor dubleAntetul protocolului IPv6 conține următoarele cacircmpuri

bull Versiunea (Version) pe 4 bițibull Tip de trafic (Traffic class) 8 biți - folosit pentru a face identificarea icircntre pachetele care au diverse

cerinţe de livrare icircn timp real cum ar fi cele pentru transmisii multimediabull Eticheta fluxului (Flow Label) 20 biți - permite unei surse şi unei destinaţii să stabilească o pseudo-

conexiune cu proprietăţi şi cerinţe particulare - fluxul poate fi stabilit icircn avans şi poate primi un identificator

bull Lungimea informaţiei utile (Payload Length) 16 biți ndash specifică numărul de octeţi care urmează antetului de 40 de octeţi

bull Antetul următor (Next Header) 8 biți - specifică tipul antetului extensie care urmează celui curent dacă acesta există

bull Limita salturilor (Hop Limit) 8 biți - similar cacircmpului Timp de viaţă (Time to Live) din IPv4 - este decrementat la fiecare trecere dintr-o reţea icircn alta

bull Adresă sursă (Source Address) şi Adresă destinaţie (Destination Address) ndash pe 128 de bițiAntetele extensie (extension headers) sunt plasate imediat după antetul de bază al pachetului IPv6 şi

sunt luate icircn considerare ca parte din lungimea informației utilebull Fiecare antet extensie conține icircn primul octet propriul cacircmp Next Header princare se identifică tipul de antet bull Lungimea fiecărui antet variază icircn funcție de tip dar este icircntotdeauna un multiplu de 8 octeţi

Modificări aduse antetului IPv6 (comparativ cu IPv4)bull RetrasCacircmpul pentru fragmentare mutat din antetul de bazăOpțiunile IP mutate din antetul de bazăCacircmpul Header Checksum eliminat

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 25: Sinteza retele de calculatoare

Page25

Cacircmpul Header Length eliminatbull RevizuitTime to Live 10486331048633Hop LimitProtocol 10486331048633Next HeaderPrecedence amp TOS 10486331048633Traffic ClassAdresa crește de la 32 biți 10486331048633128 bițibull AdăugatCacircmpul Flow Labelbull Modelul adresă IPv6 este specificat icircn RFC 4291 - IP Version 6 Addressing Architecturebull Adresele IPv6 sunt reprezentate pe 128 de biţi şi reprezintă identificatori pentru interfeţe individuale şi

seturi de interfeţe bull IPv6 identifică trei tipuri de adrese unicast anycast multicastbull Adresele IPv6 indiferent de tip sunt alocate interfeţelor nu nodurilorbull Tipul specific de adresă IPv6 este indicat de primii biţi ai adresei Cacircmpul de lungime variabilă care

conține aceşti primi biţi este numit Prefixul Formatului (Format Prefix - FP)Tipurile de adrese IPv6 sunt bull Unicast un identificator pentru o singură interfață Un pachet trimis către o adresăunicast este livrat interfeței identificată prin respectiva adresăbull Anycast un identificator pentru un set de interfețe (de regulă aparținacircnd unor noduridiferite) Un pachet trimis către o adresă anycast este livrat doar uneia dintre interfețe(de regulă cea mai apropiată conform metricii date de protocolul de rutare)

Tipurile de adrese IPv6 sunt (continuare)bull Multicast un identificator pentru un set de interfețe (de regula aparținacircnd unornoduri diferite) Un pachet trimis către o adresă multicast este livrat tuturor interfețelor identificate prin

respectiva adresă

bull Adresarea broadcast nu se utilizeazăAdresarea unicast se aplică pentrubull Link-Local ndash se utilizează doar pe o legătura fizică nu se poate rutabull Site-Local ndash se utilizează doar icircn cadrul unei organizaţii (similare adreselor private IPv4)bull Globalbull ID-urile interfețelor IPv6 au lungimea de 64 de biți și pot fi create dinamic pe baza adresei nivelului

legătura de datebull Pentru Ethernet ID-ul interfeței este bazat pe adresa MAC (Medium Access Control) fiind icircn format

EUI (Extended Unique Identifier) pe 64 de biți icircn figura următoare este prezentat procesul de creare pentru un ID interfață IG

Formatul preferat pentru reprezentarea adreselor IPv6 este xxxxxxxx unde xlsquo (oricare din cele 8 numere xlsquo) este reprezentat prin 1-4 cifre hexazecimale

Exemplu FE800000000000000001080023E7F5DB sau (dacă se omite scrierea de zero)FE80000180023E7F5DB sau (grupele de zero sunt icircnlocuite printr-o pereche de două puncte [])

FE80180023E7F5DB

bull Un format alternativ cacircnd se lucrează simultan cu IP4 și IP6 este xxxxxxddddunde xlsquo (oricare din cele 6 numere xlsquo) este reprezentat prin valori hexazecimale iar dlsquo (oricare din cele

4 numere lsquodlsquo) prin valori zecimale Tehnici utilizate pentru tranziția de la IPv4 la IPv6bull dual stack - permite coexistența protocoalelor IPv4 şi IPv6 icircn aceleaşi dispozitive şi reţele pe un

calculator poate rula atacirct IPv4 cacirct și IPv6 astfel că se poate comunica cu hosturi IPv4

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 26: Sinteza retele de calculatoare

Page26

prin IPv4 și cu hosturi IPv6 prin IPv6 bull tunneling ndash permite utilizarea protocolului IPv6 icircn rețelele care utilizează numai IPv4 evită

dependența de un anumit protocol atunci cacircnd pachete IPv6 trebuie să treacă prin o parte a rețelei ce suportă doar IPv4 - pachetele IPv6 sunt icircncapsulate icircn pachete IPv4 trimise prin partea exclusiv IPv4 a rețelei și apoi după decapsulare icircși continuă drumul spre icircn zona IPv6

bull translatarea - permite numai dispozitivelor IPv6 să comunice doar cu dispozitive IPv4

Ruter - echipament care asigură interconectarea reţelelor fiind prevăzut cu mecanismecare se ocupă de livrarea mesajelorPlanificarea rutării10486331048633tabelă de rutare statică10486331048633tabelă de rutare dinamicăbull Ruterele cu tabele de rutare statică se caracterizează prin10486331048633nu au informaţie despre toate reţelele (deţin informaţie de rutare parţială)10486331048633acordă autonomie reţelelor locale icircn stabilirea şi modificarea rutelor10486331048633apariţia unei erori de rutare icircn unul din rutere poate determina imposibilitate de accesare a unei părţi

din reţeabull Icircn general ruterele cu tabele de rutare statică raportează următoarele erori10486331048633reţea destinaţie inaccesibilă10486331048633redirectarea traficului10486331048633problemele de congestie10486331048633timpul de viaţă a datagramei a ajuns la zero etcLa stabilirea planului de rutare se are icircn vedere dacă10486331048633reţeaua este fără ruter IP10486331048633reţeaua deţine un singur ruter10486331048633reţeaua deţine mai multe rutere interne şi un singur ruter extern10486331048633reţeaua are mai multe rutere către exteriorbull Rutarea - transferarea pachetelor icircn funcţie de informaţiile incluse icircn tabelele de rutarebull Protocolul de rutare - programul prin intermediul căruia se schimbă informaţia pentru reactualizarea

tabelelor de rutare bull Alegerea protocolului de rutare are icircn vedere10486331048633mărimea şi complexitatea reţelelor interconectate10486331048633dacă sunt acceptate măştile de subreţea cu lungime variabilă10486331048633nivelul traficului din reţea10486331048633securitatea impusă10486331048633fiabilitatea10486331048633politica organizaţională10486331048633caracteristicile de icircntacircrziere ale reţeleibull Algoritmi de rutare

10486331048633neadaptivi (sau rutarea statică) - ruta icircntre două noduri ale reţelei este calculată icircn avans şi este inclusă icircn nodurile de comutare la iniţializarea reţelei

10486331048633adaptivi - deciziile de rutare se modifică icircn funcţie de topologia şi traficul real

bull După modul icircn care este utilizată informaţia de rutare

10486331048633algoritmi globali - informaţiile sunt colectate la nivel de reţea10486331048633algoritmi locali - informaţiile disponibile local

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 27: Sinteza retele de calculatoare

Page27

10486331048633algoritmi distribuiţi - combinaţie de informaţii locale şi globalebull După conţinutul informaţiei de rutare10486331048633algoritmi care au la bază numărul legăturilor intermediare sau algoritmi de tipul vectorilor distanţă10486331048633algoritmi care ţin seama de starea legăturilor legătura este conexiunea icircntre două ruterebull Protocolul RIP (Routing Information Protocol) are la bază algoritmul de calcul pentru drumul cel mai

scurt icircntr-un graf Sistemul pe care se execută protocolul RIP poate emite două tipuri de pachete10486331048633pachete de cerere10486331048633pachetele de răspunsminus tabelul este automat emis la fiecare 30 de secundeminus tabelul este emis ca răspuns la o cerere a altui nodbull OSPF (Open Shortest Path First) este un protocol avacircnd la bază starea legăturilor şi a fost dezvoltat de

IETF (Internet Engineering Task Force) pentru Internetbull Unele protocoale de rutare sunt utilizate pentru determinarea rutelor icircntr-un AS (Autonomous

systems) altele pentru interconectarea unui ansamblu de AS-uri10486331048633IGP (Interior Gateway Protocols) permite ruterelor să schimbe informaţia icircn cadrul unui AS

exemple de protocoale Open Short Path First (OSPF) şi Routing Information Protocol (RIP)10486331048633EGP (Exterior Gateway Protocols) schimbă informaţia icircntre sistemele autonome de exemplu

Border Gateway Protocol (BGP)bull Sistemul autonom reprezintă un ansamblu de rutere şi reţele care au o administraţie unicăbull Modelul domeniilor de rutare are are la bază un ansamblu de sisteme autonomebull ICMP (Internet Control Message Protocol) se caracterizează prin10486331048633utilizează serviciile IP ca şi cacircnd ICMP ar fi un protocol de nivel superior (mesajele ICMP sunt

icircncapsulate icircn datagramele IP)10486331048633este utilizat pentru raportarea erorilor şi nu pentru a asigura fiabilitatea IP10486331048633emite mesaje numai despre erorile primului fragment10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la datagramele cu adrese destinaţie IP de tip

broadcast sau multicast10486331048633mesajele ICMP nu sunt niciodată emise ca răspunsuri la o datagramă a cărei adresă sursă IP nu este

reprezentată printr-un host unic10486331048633mesajele ICMP nu sunt emise ca răspunsuri la mesajele de eroare ICMPbull Structura mesajelor ICMP10486331048633Tip - identifică natura mesajului de control emis (răspuns ecou destinaţie inaccesibilă cerere de

reducerea debitului sursei redirectare ecou timp depăşit etc)10486331048633Cod - identifică parametrii de bază ai mesajului (interpretarea este dependentă de tipul mesajului)10486331048633Control eroare - verifică validitatea mesajului ICMP10486331048633Date - conţine informaţia mesajului ICMPbull Mesaje de control ICMP10486331048633destinaţie inaccesibilă10486331048633timp depăşit10486331048633cererea pentru reducerea debitului sursei semnalizează că un echipament al reţelei distruge

datagramele din lipsă de resurse (de exemplu memorie tampon)10486331048633redirectarea are rolul să specifice unei maşini adresa unui ruter mai apropiat de o adresă destinaţie IP10486331048633ecourăspuns la ecou are rolul să testeze accesibilitatea la o destinaţie10486331048633cererearăspuns de informaţie se utilizează pentru determinarea adresei IP a uneireţele ataşate10486331048633cererearăspuns amprentă timpbull Aplicaţii ICMP10486331048633ping (Packet INternet Groper) - testează conectivitatea cu un host de la distanţă10486331048633traceroute - permite determinarea rutei pe care datagramele IP le parcurg pacircnă la hostul destinaţie

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 28: Sinteza retele de calculatoare

Page28

bull ARP (Address Resolution Protocol) este utilizat icircn reţele pentru translatarea adresei IP icircn adresa MAC a hostului destinaţie (adresele Ethernet şi Token Ring au doi sau şase octeţi adresele ARCNET au un singur octet)

bull Software-ul ARP menţine o tabelă (uneori denumită ARP cache) de translatare din adresa IP icircn adresă MAC (Ethernet) tabela este construită dinamic

bull Comanda arp ndasha afişează conţinutul tabelei de translatarebull Protocolul RARP (Reverse Address Resolution Protocol) translatează adresa nivelului legătura de

date icircn adresă IPbull Fiecare calculator dintr-o reţea TCP IP trebuie să aibă o adresă IP unicăAdresa IP identifică

calculatorul gazdă şi subreţeaua la care este ataşat Cacircnd se mută un calculator pe o altă subreţea adresa IP trebuie să fie alta

bull DHCP (Dynamic Host Configuration Protocol) permite alocarea unei adrese IP icircn mod dinamic pentru un client Adresele IP alocate sunt stocate icircntr-o bază de date a unui server DHCP

bull Dynamic Host Configuration Protocol (DHCP) este definit icircn RFC-urile 2131 şi 2132 A fost proiectat pentru a fi compatibil cu BOOTP

bull DHCP utilizează aceleaşi porturi (67 şi 68) ca BOOTP şi acelaşi format al pachetului de bazăbull DHCP asigură10486331048633parametrii de configurare TCPIP10486331048633alocarea dinamică a adreselor IPbull BOOTP (Protocolul Bootstrap) protocol utilizat icircn reţelele TCPIP pentru configurarea staţiilor de

lucru fără discuribull BOOTP permite unei staţii client să ceară adresa IP o adresă de gateway şi adresa unui server de nume

de la un server BOOTP de obicei serverul şi clientul sunt pe acelaşi segment LANbull Utilizarea BOOTP permite configurarea centralizată a multiplilor clienţi

NIVELUL LEGĂTURA DE DATE

1 Rolul nivelului legătura de datePrincipalele funcţii realizatebull sincronizarea emitorului şi receptoruluibull controlul fluxului de datebull detectarea şi recuperarea erorilor icircntre două puncte ale legăturiibull menţinerea unor condiţii pe legătură astfel icircncacirct să se diferenţieze cadrele de date de cele de control şi

să se identifice staţiile care comunică

2 Tipuri de protocoaleProtocoalele nivelului legătura de date pot fi-asincrone (nu necesită sincronizare icircntre emitor şi receptor) un bloc de informaţie compus dintr-un

singur caracter este icircncadrat de cifre binare pentru delimitare-sincrone ndash foloseşte o configuraţie de cifre binare pentru delimitarea blocului de informaţie (orientate

pe caracter bloc sau bit)

Protocol sincron orientat pe bit HDLC (High-level Data Link Control) a fost folosit ca bază icircn realizarea următoarelor standarde

bull SDLC (Synchronus Data Link Control) utilizată icircn arhitectura de reţea SNA (Systems Network Architecture) a IBM

bull LAP-B (Link Access Procedure - Balanced) administrează legătura de acces la o reţea cu comutare de pachete X25

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 29: Sinteza retele de calculatoare

Page29

bull LAP-D este un protocol utilizat pe canalul de semnalizare (canal D - avacircnd debitul de 16-64 Kbits) a ISDN (Integrated Services Digital Network)

bull LLC (Logical Link Control) reprezintă partea superioară a nivelului legătura de date din modelul de referinţă OSIISO pentru reţele locale

3 Protocolul HDLCCaracteristicile protocolului HDLCHDLC se tratează următoarele aspectebull Staţiile şi configuraţiilebull Modurile operaţionalebull Modurile neoperaţionalebull Structura cadruluibull Comenzile şi răspunsurile

HDLC specifică următoarele trei tipuri de staţiibull staţii primare - au controlul legăturii de datebull staţii secundare - sunt sub controlul staţiei primare şi răspund comenzilor acesteiabull staţii combinate - transmit atacirct comenzi cacirct şi răspunsuri

HDLC defineşte următoarele trei configuraţiibull configuraţia neechilibrată (o staţie primară şi una sau mai multe staţii secundare)bull configuraţia echilibrată (două sau mai multe staţii combinate)bull configuraţia simetrică ndash nu este utilizată

HDLC are trei moduri de operare

bull modul de răspuns normal (Normal Response Mode - NRM) - icircntr-o configuraţie neechilibrată staţia secundară poate emite numai după recepţionare de la staţia primară a permisiunii de transmisieş

bull modul de răspuns asincron (Asynchronous Response Mode - ARM) - icircn configuraţia neechilibrată se permite unei staţii secundare să iniţieze transmisia fără a primi explicit

permisiunea de la staţia primarăbull modul echilibrat asincron (Asynchronous Balanced Mode - ABM) - icircntr-o configuraţieechilibrată o staţie poate iniţia transmisia fără a recepţiona permisiunea de la o altă staţie

Cacircmpurile dintr-un cadru HDLC sunt (STRUCTURA)bull Flag - configuraţie binară unică pentru icircnceput şi sfacircrşit de cadru (01111110)2bull Adresaminus pentru legătura multipunct se referă la o staţie particulară minus pentru legătura punct-la-punct se referă staţia care emite dacă este cadru de comandă sau staţia care

răspunde icircntr-un cadru răspunsbull Cacircmpul control identifică tipul cadrului şi funcţiile acestuia Sunt definite trei formateminus cadrul de informaţie numerotată (format I) - transferul de dateminus cadrul supervizor (format S) - funcţiile de control ale fluxului şi debitului

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 30: Sinteza retele de calculatoare

Page30

minus cadrul fără numerotare (format U) utilizat pentru definirea modului de exploatare a legăturii iniţializarea sau deconectarea unei staţii raportarea erorilor de protocol

bull Cacircmpul de informaţie al unui cadru de format I conţine unitatea de date a serviciului bull Cacircmpul de verificare FCS conţine restul icircmpărţirii mesajului transmis prin polinomulde generare de grad 16 [ G(x)= x16+x12+x5+]

4 LLC (Logical Link Control)LLC - standard care derivă din HDLC şi este utilizat icircn reţelele locale

Standardul LLC (IEEE 8022) defineşte

bull protocolul subnivelului LLC comun standardelor IEEE 8023 8024 8025 etcbull interfaţa cu nivelul reţeabull interfaţa cu subnivelul MAC (Medium Access Control)

Standardul IEEE 8022 prezintă nivelului reţea următoarele tipuri de servicii bull serviciu fără conexiune fără achitare (LLC1)bull serviciu orientat pe conexiune cu achitare (LLC2)bull serviciu fără conexiune cu achitare (LLC3)

LLC1 permite transferul de date punct la punct punct-multipunct sau prin difuzie LLC1oferă emisia şi recepţia cadrelor fără bull nici o secvenţialitatebull nici o formă de achitare din partea destinatarului (fără a se garanta recepţia şi fără aicircnregistra o situaţie de eşec)bull nici un control al erorilor

Aplicaţii icircn care se poate utiliza LLC1bull colectarea datelor care provin de la surse diferite şi care permit controlul execuţiei unei sarcinibull difuzarea datelor de interes comunbull interogarea unui server ce se limitează deseori numai la o secvenţă de tipul icircntrebarerăspunsbull aplicaţii icircn timp real cacircnd nu se mai pierde timp pentru realizarea conexiunii

Primitivele de serviciu LLC1 se ocupă cu transferul datelorbull DL_UNITDATAreq (adresa_sursei adresa_destinaţiei date prioritatea)bull DL_UNITDATAind (adresa_sursei adresa_destinaţiei date prioritatea)

LLC2 - serviciu care utilizează cele trei faze de funcţionare icircn mod conectat stabilirea conexiunii icircntre sursă şi destinaţie transferul informaţiei şi eliberarea conexiunii

Serviciul LLC2 este bine adaptat aplicaţiilor care necesită schimburi de lungă durată transfer de fişiere accesul la un sistem de la distanţă care funcţionează icircn timp partajat

Primitivele serviciului orientat pe conexiune (LLC2) se grupează icircn cinci categorii bull Stabilirea conexiunii care utilizează primitivele- DL_CONNECTrequest (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTindication (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTresponse (adresa_sursei adresa_destinaţiei prioritatea)- DL_CONNECTconfirmation (adresa_sursei adresa_destinaţiei prioritatea)bull Eliberarea şi refuzul conexiunii este un serviciu fără confirmare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 31: Sinteza retele de calculatoare

Page31

Primitivele utilizate sunt- DL-DISCONNECTrequest (adresa_sursei adresa_destinaţiei)- DL-DISCONNECTindication (adresa_sursei adresa_destinaţiei cauza)bull Transferul de date icircn modul conectat se face punct-la-punct Primitivele apelate sunt- DL-DATArequest (adresa_sursei adresa_destinaţiei datele)- DL-DATAindication (adresa_sursei adresa_destinaţiei datele)bull Reiniţializarea conexiunii constituie un serviciu confirmat cu patru primitive deserviciu- DL_RESETrequest (adresa_sursei adresa_destinaţiei)- DL_RESETindication (adresa_sursei adresa_destinaţiei cauza)- DL_RESETresponse (adresa_sursei adresa_destinaţiei)- DL_RESETconfirmation (adresa_sursei adresa_destinaţiei)

bull Controlul fluxului intervine la interfaţa reţeaLLC şi utilizează primitivele- DL_CONNECTION_FLOWCONTROLrequest (adresa_sursei adresa_destinaţiei valoare)- DL_CONNECTION_FLOWCONTROLindication (adresa_sursei adresa_destinaţiei valoare)

LLC3 este asemănător cu serviciul LLC icircn mod conectat include două servicii independentebull Serviciu cu transmisie garantată - primitivele de serviciu sunt- DL_DATA_ACKrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACKindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_DATA_ACK_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)bull Serviciu de polling cu răspuns garantat - primitivele de serviciu sunt- DL_REPLYrequest (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLYindication (adresa_sursei adresa_destinaţiei date prioritatea clasa_de_serviciu)- DL_REPLY_STATUSindication (adresa_sursei adresa_destinaţiei date prioritatea

clasa_de_serviciu starea)- DL_REPLY_UPDATErequest (adresa_sursei date)- DL_REPLY_UPDATE_STATUSindication (adresa_sursei date)Cele trei protocoale LLC utilizează acelaşi format de cadru similar cadrului HDLC

5 Protocoale ale nivelului legătura de date icircn InternetPentru transmisia şi recepţionarea datelor icircn mod serial prin linia telefonică se pot utiliza

protocoalele de comunicaţie ale nivelului legătura de date SLIP (Serial Line IP) PPP (Point-to-Point Protocol)

SLIP a fost primul protocol utilizat fiind conceput pt conectarea la statiile de lucru Sun la Internet prin intermediul unui canal comutat SLIP este in momentul de fata un standard de

f acto utilizat pt interconectarea statiilor izolate prin TCPIP si o linie telefonica Cu toate ca nu este standard Internet el este documentat prin RFC

Protocolul defineste un mecanism simplu pt realizarea cadrelor utiliznad o secventa de caractere ce incadreaza pachetele IP pe o linie seriala Statia de lucru trimite pachete IP pe linie cu un indicator special de sfarsit de cadru avand lungimea unui octet si valoarea zecimala 192 (sau (CO)H) ( majoritatea implementarilor SLIP utilizeaza acelasi caracter si la inceputul unui pachet IP) Daca valoarea unui octet din secventa de date este 192 este folosita si o forma de schimbare a codului in locul respectivului octet vor fi trimisi 2 octeti cu valori (DB)H si (DC)H

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 32: Sinteza retele de calculatoare

Page32

Protocolul SLIP nu prevedebull Adresarea= ambele calculatoare implicate intr-o comunicatie pe o legatura SLIP tb sa

cunoasca adresa de IP a celeilalte adresa nu se poate asocia dinamicbull Identificarea tipului de pachet=SLIP nu suporta protocoale multiple pe o singura legatura si

aceasta pt ca un cadru SLIP nu include un camp pt identificarea protocolului de destinatie a pachetelor Pe o conexiune SLIP se poate executa un singur protocol si accepta numai protocolul IP la nivelul retea

bull Detectareacorectarea erorilor=SLIP nu are posibilitatea de detectare a erorilor Nivelurile superioare ar tb sa detecteze pachetele corupte Pe o conexiune SLIP este preferabil sa se aleaga pt nivelul de transport protocoale TCP

bull Compresia= SLIP nu detine nici un mecanism pt comprimarile utilizate in campurile antet IP

Pentru a remedia punctele slabe ale protocolului SLIP a fost dezvoltat PPP (Point-to-Point Protocol) ca standard de Internet Cadrele PPP include un camp Protocol prin care se autorizeaza transmiterea de pachete destinate diferitelor protocoale ale nivelului retea

PPP include trei componentebull Metoda pentru icircncapsularea datagramelor pe o linie serialăbull Protocolul de control al legăturii LCP (Link Control Protocol) care furnizează informaţii de

control referitoare la legătura serie LCP Sunt realizate următoarele faze- stabilirea conexiunii şi negocierea parametrilor de configurare prin schimbarea unor pachete

de control- verificarea calităţii legăturilor opţional- autentificarea (opţional) reprezintă procesul prin care se verifică dacă un calculator are

drepturile necesare să comunice cu un altul- configurarea protocolului nivelului reţea negociat (icircn această fază este utilizat NCP)- icircnchiderea conexiuniibull O familie de protocoale pentru control reţea NCP (Network Control Protocol) carefurnizează informaţii de configuraţie şi control destinate protocoalelor nivelului reţeaDe exemplu IPCP (Internet Protocol Control Protocol) defineşte protocolul de controlreţea PPP icircn cazul cacircnd protocol al nivelului reţea este IPCadrul PPP conţine următoarele cacircmpuribull Flag - indicator standard pentru icircnceput şi sfacircrşit cadrubull Adresa - valoarea binară (11111111)2 specifică toate staţiile trebuie să accepte cadrulbull Control are valoarea binară implicită (00000011) pentru a indica un cadrunenumerotatbull Protocol (icircn mod implicit are lungimea de doi octeţi dar poate fi negociată la un octet)identifică tipul datelor conţinute icircn cacircmpul Informaţii de exemplu valoarea- (0021)H specifică o datagramă IP- (C021)H date de control al legăturii - PPP defineşte trei tipuri de pachete LCP deconfigurare de icircntreţinere şi de terminare conexiune- (8021)H date de control pentru nivelul reţea (pachet NCP) pentru alegerea şiconfigurarea protocolului corespunzător nivelului reţeabull Informaţii reprezintă un cacircmp de lungime variabilă a cărei valoare este stabilită icircn fazade negociere (lungimea implicită este de 1500 octeţi)

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 33: Sinteza retele de calculatoare

Page33

bull CRC (Cyclic Redundancy Check) cu lungimea de doi octeţi

X25 este un protocol de reţea cu comutare de pachete care defineşte o recomandare internaţională pentru schimbul de date precum şi controlul informaţiei icircntre terminalul utilizatorului cunoscut ca Data Terminal Equipment (DTE) şi un nod de reţea cunoscut

ca Data Circuit Terminating Equipment (DCE)X25 utilizează un serviciu orientat pe conexiune care asigură transmiterea pachetelor icircn ordine şi are o

arhitectură pe 3 niveluri (corespunde primelor 3 niveluri din modelul OSI) Cele 3 nivele suntbull nivelul Fizic descrie interfaţa cu mediul fizic similar nivelului fizic din modelul OSIbull nivelul Legatura de date responsabil de asigurarea unei comunicări sigure icircntre DTE şi DCE similar

nivelului Legătura de date din modelul OSIbull nivelul Pachet descrie protocolul de transfer a datelor icircntr-o reţea cu comutare de pacheta similar

nivelului Reţea din modelul OSIX25 a fost iniţial aceptat icircn 1976 şi revizuit mai tacircrziu icircn 1977 1980 1984 1988 şi 1992Icircn 1996 era una din cele mai folosite interfaţe pentru asigurarea comunicaţiei icircntre reţeleNivelul Fizic gestionează interfaţa funcţională procedurală mecanică si electrică dintreDTE şi DCE Nivelul fizic include specificaţiilebull X21 este o recomandare făcută de CCITT pentru funcţionarea circuitelor digitalebull X21-bis este o recomandare făcută de CCITT prin care se descrie interfaţaanalogică ce permite accesul la circuitul digital comutat de reţea folosind un circuit analogicbull V24 recomandare CCITT oferă proceduri care permit unui DTE să acţioneze asupra unui circuit

analogicNivelul Legatura de date asigură transferul de date fără erori icircntre DTE şi DCE prin transmitrea datelor

ca o secvenţă de cadreFuncţiile nivelului legătura de date suntbull transferul datelor icircntr-un mod eficient şi icircntr-o perioadă scurtă de timpbull sincronizare legăturii icircntre receptor şi emitorbull detectarea erorilor de transmisie şi eliminarea lorbull

identificarea şi raportarea erorilorNivelul legatura de date foloseste proceduri de control pentru legatura de date compatibile cu HDLC

standardizat de ISO şi cu ADCCP (Advanced Data Communications Control Procedures) standardizat de ANSI (American National Standards Institute)

Nivelul fizic

MODULE FUNCTIONALE ALE NIVELULUI FIZIC

Modulele functionaleCanal de comunicaţie sau circuitul de date este constituit din suportul de transmisie şi dispozitivele de adaptarePlanul de cablare asigură interconectarea echipamentelorAlegerea unui plan de cablare necesităndash analiza mediuluindash stabilirea topologieindash stabilirea suportului de transmisieSistemele de cablare se pot caracteriza prin atributelendash greutate(dacă sunt cu ghidare fizică)ndash uşurinţa de racordarendash fiabilitateCuplarea fizică ndash adoptarea tehnicilor prin care să se evite transmiterea supratensiunilor electrice iar

conectareadeconectarea unui echipament să nu perturbe funcţionarea globală a reţeleiTransmisia se poate face icircnndash bandă de bază (BaseBand) - circuitul de date suportă un singur semnal Purtător

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 34: Sinteza retele de calculatoare

Page34

ndash bandă largă (Broadband) ndash cacircnd se utilizează un semnal purtător SinusoidalModularea unui semnal (icircn tensiune fază frecvenţă ) este operaţia de transformare a semnalului numeric icircn

semnal analogicDemodularea - transformarea semnalului analogic icircn semnal numericModulul pentru codificaredecodificare a informaţiei binare are rolul de a asigura sincronizarea icircntre emitor şi

receptorCodurile utilizatendash NRZ-L (Non Return to Zero - Level)1048633 două niveluri de tensiune pentru valorile logice 0 şi 11048633 tensiunea este constantă pe durata unui bitndash NRZI Non Return to Zero Inverted1048633 fără revenire la zero inversat pe unu1048633 puls de tensiune constat pe durata unui bit1048633 tranziţie (low - high sau high - low ) pentru valorile de 11048633 fără tranziţie pentru valorile de 0Codurile utilizatendash NRZ-L (Non Return to Zero - Level)ndash NRZ-M (NRZ - Mark)ndash NRZ-S (NRZ - Space)ndash RZ (Return to Zero)ndash Manchester (utilizat la IEEE 8023)ndash Manchester diferenţial (utilizat la IEEE 8025)Serializareadeserializarea este necesară pentru transmisiarecepţia datelor prin suportul de transmisie ndash dacă

icircntr-un sistem de calcul datele sunt transmise şi prelucrate la nivel de cuvacircnt (8 16 32 64 128 biţi) prin suportul de comunicaţie datele se transmit icircn mod serial

SUPORTURI DE TRANSMISIESuporturi de transmisieSuportul de transmisie permite transferul secvenţelor de biţi icircntre echipamentele unei

reţeleSuporturile utilizate pot fi ndash cu ghidare fizică cablul electric fibra optică fără ghidare unde radio microunde raze

infraroşii raze laserTipuri de cabluri torsadatendash STP (Shielded Twisted Pair - cablu torsadat ecranat) este recomandat icircn mediile cu

interferenţe electrice deseori utilizat icircn reţelele Token Ringndash UTP (Unshielded Twisted Pair - cablu torsadat neecranat ) este cel mai utilizatEIATIA (Electronic Industry AssociationTelecommunication Industry Association) a

stabilit standarde pentru UTP şi şase categorii de cablurindash Categoria 1 ndash numai pentru transmisia de voce (pentru mai puţin de 4 Mbps) ndash Categoria 2 - transmisia de date la mai puţin de 4 Mbps (LocalTalk)ndash Categoria 3 - transmisia de date - icircn mod obişnuit 10-16 Mbps deşi este posibilă

transmisia de 100 Mbps (Ethernet)ndash Categoria 4 - transmisia de date la mai puţin de 20 Mbps (de exemplu Token Ring

transmite 16 Mbps)ndash Categoria 5 - transmisia de date la mai puţin de 100 Mbps (Fast Ethernet)Categoria 6 ndash este utilizată pentru transmisii de ordinul GbpsCategoriile 3 şi 5 UTP sunt utilizate icircn mod obişnuit icircn reţelele de calculatoarePentru categoriile 3 şi 5 lungimea maximă a unui segment este de 100m

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 35: Sinteza retele de calculatoare

Page35

Pentru racordare se utilizează conectorul telefonic RJ-45 (4 fire) sau RJ-11 (2 fire)Specificaţia 10Base-T prezintă modul cum poate fi utilizat cablul torsadatndash icircn reţelele locale Ethernet pentru transmisia icircn bandă de bazăndash rata de transfer 10 Mbpsndash topologie steandash nodurile reţelei sunt conectate la un distribuitor central repetor multiportRacordarea la cablul coaxial se face printr-un bull conector icircn T (icircn care se prind capetele secţionate)bull dispozitiv special denumit vampir (taps)Tipuri de cablu coaxialSubţire ndash316 inci sau 0 47625cm (referit ca thinnet) Specificaţia 10Base2prezintă modul cum poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 200 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash orice nod al reţelei este legat la cablu printr-un conector BNC (Bayone-Neill-Concelman)

de pe placa adaptoaregros ndash 38 inci sau 0 9525cm (referit ca thicknet) Specificaţia 10Base5 prezintă modul cum

poate fi utilizat cablulndash icircn reţelele Ethernet pentru transmisia icircn bandă de bazăndash lungimea maximă a unui segment este de 500 metrindash rata de transfer 10 Mbpsndash topologie magistralăndash un nod al reţelei este prevăzut cu un emiţătorreceptor inclus icircntr-un

conector AUI (Attachment Unit Interface)Fibra optică are capacitatea să transmită semnalele binare sub forma unor impulsuri

luminoaseFibra multimod razele generate de sursă pot urma prin fibră trasee de lungimi diferite

numărul de moduri de propagare depinde de indicii de refracţie n1 şi n2 lungimea de undă a sursei

şi diametrul nucleului (diametrul nucleului şi al icircnvelişului sunt de ordinul 50 μm şi respectiv 100 μm (fibră 50100)

Fibra monomod razele generate de sursă se propagă de-a lungul axului fibrei diametrul nucleului unei fibre optice cu salt de indice scade foarte mult tipic 10 μm

Legătura optică este constituită dinbull sursa de lumină dioda electroluminiscentă (LED Light Emitting Diode) sau dioda laserbull fibra opticăbull detectorul de lumină care poate fi o fotodiodă de tip PIN (Positive Intrinsic Negative) sau

fototranzistorComunicaţia fără firbull unde radio (frecvenţa icircntre 104 şi 108 Hz)bull microunde (108 - 1010 Hz)bull raze infraroşii (1012 - 1014 Hz)

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 36: Sinteza retele de calculatoare

Page36

bull raze laser (semnale optice neghidate) bull Transmisiile prin raze laser sau infraroşii sunt icircn icircntregime numericebull Condiţiile meteorologice pot altera comunicaţiilebull Raze laser sau infraroşii sunt optime pentru distanţe miciFasciculele dirijate de unde radio la frecvenţe icircnalte sau fasciculele de microunde undele

radio se propagă icircn orice direcţie de la sursă deci nu este nevoie de alinierea fizică aemitorului şi a receptoruluibull Datorită capacităţii undelor radio de a se propaga pe distanţe mari interferenţa devine o

problemăbull Icircn benzile de frecvenţă foarte joase joase şi medii undele radio se propagă la solbull Comunicaţiile prin microunde sunt terestre şi prin satelit Comunicaţiile terestre prin

microunde constau din semnale transmise icircntre două antene un emitor şi un receptor Acest tipde comunicaţie este eficient pentru distanţe mari şi canale multiplebull La peste 100 Mhz undele se propagă icircn linii drepte la o frecvenţă - pot fi direcţionatebull Comunicaţiile cu microunde sunt folosite de telefonia pe distanţe mari telefoanele celulare

televiziune şi altele Staţiile pot fi la distanţe de 80 -100 kmSateliţii de telecomunicaţie prezintă proprietăţi particularebull semnalele se deplasează cu viteza luminii (300 000 kms)bull sateliţii necesită mai multe repetoare care acceptă fiecare semnal icircntr-o bandă de frecvenţă

dată (de ordinul 6 sau 14 Ghz) şi icircl regenerează icircntr-o altă bandă de frecvenţă (14 sau 12 Ghz) pentru a se evita interferenţa cu semnalul care se recepţionează

bull sateliţii fiind situaţi la o anumită altitudine vor introduce o icircntacircrziere importantă icircn transmisiile dintre două staţii terestre

Sateliţii pot fi bull Geostaţionaribull De medie altitudinebull De joasă altitudine - au fost utilizaţi după 1990 prin proiectul Iridium de către Motorola (se

obţinuse acordul pentru lansarea a 77 de sateliţi)

Arhitecturi ale reţelelor locale

bull Reţelele de calculatoare au capacitatea de a-şi partaja resursele- logice fişiere baze de date etc- fizice procesoare memorie canale de comunicaţie etcbull Deseori icircntr-un mediu distribuit mai multe procese ale sistemului solicită simultan o resursă

partajabilă cu acces exclusiv (problemă de competiţie)bull Alocarea resurselor poate determina fenomenul de interblocarebull Utilizarea oricărei resurse necesită trei etape-solicitarea resursei de către procesul utilizator-utilizarea propriu-zisă a resursei după alocare-eliberarea resursei prin disponibilizare sau recuperarebull Considerăm n procese distribuite P1P2Pn care solicită o resursă partajabilăbull Fiecare proces are asociat o variabilă de stare Starei ce poate lua una din cele trei valori exterioară

resursă_cerută resursă_alocată

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 37: Sinteza retele de calculatoare

Page37

bull Rezolvarea problemei de excludere mutuală constă icircn găsirea unui algoritm capabil să asigure trecerea-proceselor care se găsesc icircn starea de resursă_cerută icircn starea de resursă_alocată (la un moment dat

cel mult un proces Pi să fie icircn starea de resursă_alocată)-orice proces care se găseşte icircn starea de resursă_cerută trebuie să treacă icircntr-un timp finit icircn starea de

resursă_alocată-orice proces care este icircn starea de resursă_alocată va invoca tranziţia eliberare icircntr-un timp finitbull Un proces icircn starea de resursă_alocată este icircn secţiunea critică sau este utilizator al secţiunii criticebull Clase de algoritmi pentru excluderea mutuală-algoritmi avacircnd la bază permisiunile şi-algoritmi care utilizează tokenul mişcarea continuă a tokenului fără ca procesele să expedieze cereri procesele expediază cererile care trebuie să ajungă la tokenbull Semaforul icircn mediul distribuit este un instrument pentru a rezolva problema de excludere mutuală Un

semafor S este o variabilă partajată care poate lua numai valori icircntregi pozitive Valoarea se poate modifica prin cele două primitive

P (S) IF S = 0THENAŞTEAPTĂ ( S gt 0 ) ELSES = S ndash 1V (S) S = S + 1bull Suportul de transmisie - una din resursele critice

bull Metoda de control al accesului descrie modul icircn care staţiile din reţea pot utiliza suportul de transmisie pentru a preveni sau reglementa orice conflict posibil şi poate fi- centralizată - monitorizarea este concentrată icircntr-o singură staţie- distribuită icircntr-un ansamblu de staţiibull Principalele tehnici de acces- Accesul static FDM (Frequency Division Multiplexing) TDM (Time Division Multiplexing)Accesul determinist- Accesul determinist control centralizat prin polling (consultare) control descentralizat prin token- Accesul aleatoriu - protocoale cu acces multiplu cu detectarea purtătoarei (CSMA - Carrier

Sense Multiple Access Protocols) ndash de la tehnica ALOHA CSMA non persistent ndash dacă o staţie detectează un semnal ea aşteaptă un timp aleatoriu icircnainte de a

reitera procedura de ascultare a purtătoarei CSMA persistent - staţia persistă să asculte canalul pacircnă cacircnd acesta devine liber CSMA p-persistent - canal liber staţia emite cu o probabilitate p CSMACD (Carrier Sense Multiple AccessCollision Detection) - staţia ascultă canalul pacircnă cacircnd

acesta devine liber icircncepe să emită şi continuă să asculte canalul pe timpul propriei transmisiibull Obiectivul standardizării - asigurarea compatibilităţii icircntre diversele echipamente (produse de

fabricanţi diferiţi)bull Standardele IEEE 802 permit interconectarea diferitelor dispozitivebull Majoritatea normelor IEEE 802 se ocupă de nivelurile 1 şi 2 (fizic şi legătura de date) ale modelului

de referinţă OSIISOStandardele au devenit şi norme ISO- IEEE 8021 (ISO 8802_1) Arhitectură şi interconectare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 38: Sinteza retele de calculatoare

Page38

- IEEE 8022 (ISO 8802_2) se referă la controlul legăturii logice şi este o normă comună tuturor tipurilor de suporturi fizice şi metode de acces- IEEE 8023 (LAN sau Ethernet) conţine specificaţiile nivelului fizic şi metoda de acces

CSMACD (Carrier Sense Multiple AccesCollision Detection) Au fost publicate standarde suplimentareminus IEEE 8023a (1985) - normă pentru unitatea de ataşare la mediu şi specificaţiile acestuia pentru

transmisia icircn bandă de bază (tip 10BASE2)minus IEEE 8023b - normă pentru unitatea de ataşare la mediu icircn bandă largă şi specificaţiile acestuia icircn

bandă largă (10 BROAD36)minus IEEE 8023c (1985) - normă pentru unitatea de repetor din reţelele de 10 Mbiţis icircn bandă de bazăminus IEEE 8023d (1987) - legătura prin fibră (FOIRL - Fiber Optic Inter-Repeater Link)IEEE 8024 (LAN Token-Bus) conţine specificaţiile nivelului fizic şi metoda de acces Token-BusIEEE 8025 (LAN Token-Ring) conţine specificaţiile nivelului fizic şi metoda de acces Token-RingIEEE 8026 (MAN DQDB ndash Distributed Queue Dual Bus) conţine specificaţiile nivelului fizic şi metoda

de acces pentru reţelele metropolitaneIEEE 8027 - Broadband LANIEEE 80210 ndash formatul standard pentru funcţiile de securitate din LAN şi MANIEEE 80211 ndash Wireless LANIEEE 80215 ndash Wireless PAN (Personal Area Network)IEEE 80216 ndash LANMAN Broadband Wirelessbull Icircn 1978 Digital Intel şi Xerox au lansat standardul - Ethernet (DIX) V2bull Ulterior IEEE l-a acceptat ca standard IEEE 8023bull Reţelele locale IEEE 8023 Fast Ethernet şi Gigabit Ethernet ndash reţele Ethernetbull Specificaţiile normei IEEE 8023 se referă la

Echivalentul nivelului fizic din modelul de referinţă OSI care este cunoscut sub numele de acces la suportul fizic Funcţiile acestui nivel pot fi distribuite icircntre dispozitivele de racordare la cablul şi staţia propriu-zisă

Componenta MAC (Medium Access Control) - reprezintă partea inferioară a nivelului legătura de date Funcţiile permit staţiei să primească dreptul de a emite şi să rezolve situaţiile de conflict Icircn plus dirijează schimburile cu nivelul acces la mediul fizic

bull Icircn mod obişnuit reţeaua Ethernet este constituită dintr-un ansamblu de echipamente interconectate icircntr-o topologie magistrală

bull LAN Ethernet operează icircn modul half-duplex ndash numai un calculatoar poate emite cadre la un moment dat prin canal

bull După introducerea hub-urilor de comutare Ethernet sistemul de comunicare poate fi full-duplexbull Ethernet utilizează un mecanism de transport prin difuzie (broadcast) ndash mesajele transmise ajung pe la

toate staţiile Destinatarul poate fi unic sau un grup de maşini

Principiul de funcţionare a protocolului MACbull Protocolul CSMACD este un protocol cu acces aleatoriubull Protocolul impune reguli1048633 icircnaintea transmisiei unui cadru1048633 icircn timpul transmisiei1048633 icircn caz de conflictPrincipiul transmisiei prin metoda CSMACD

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 39: Sinteza retele de calculatoare

Page39

Noţiuni legate de coliziune bull perioada de vulnerabilitate reprezintă durata de timp icircn care o staţie icircndepărtată poate detecta canalul

liber şi transmite este cel mult egală cu timpul de propagare icircntre două staţii mai icircndepărtate de pe suportbull fereastra de coliziune sau slot-time reprezintă intervalul de timp icircn care o staţie poate detecta o

coliziune sau timpul după care o staţie poate avea certitudinea reuşitei transmisiei sale - este egală cu de două ori timpul de propagare a semnalului prin suport

Funcţii ale subnivelului MACbull Transmisia unui cadru1048633 acceptă date de la LLC1048633 realizarea cadrului1048633 prezintă o serie de biţi nivelului fizic pentru a fi transmişi prin suportbull Recepţia cadrelor1048633 primeşte o serie de biţi ce provin din nivelul fizic1048633 verificarea cadrelor recepţionate1048633 prezintă nivelului LLC cadrele primite cu adresa de grup sau cu adresa staţiei1048633 elimină cadrele foarte scurte sau nu deţin adresa staţiei1048633 extragerea cacircmpului de date utile din cadrele recepţionatebull Aşteaptă icircnainte de a transmite dacă suportul este ocupatbull Aşteaptă expirarea timpului inter-cadre icircnainte de a transmitebull Oprirea transmisiei dacă o coliziune este detectatăbull Tentativa de retransmisie după o coliziune are loc după un interval de timp calculat printr-un algoritm

de reluare (backoff)bull Transmiterea caracterelor de avertizare pentru confirmarea unei coliziuni

Structura cadrului IEEE 88023

bull Preambulul - 7 octeţi cu valoarea (AA)H prin care se asigură sincronizarea cu staţiile de recepţiebull Delimitatorul icircnceputului de cadru (SFD - Start Frame Delimiter) - 1 octet cu valoarea (AB)Hbull Adresa destinaţiei (DA - Destination Address) adresa sursei (SA- Source Address) reprezintă

adresele fizice ale reţelelor Adresa destinaţiei poate fi o adresă multicast (difuzare grup) sau unicastbull Lungimea datelor (DL - Data Length) reprezintă lungimea efectivă a datelor LLC exprimată icircn număr

de octeţi (cuprins icircntre 0 şi 1500)bull Datele - date LLCbull Completarea- numai pentru mesaje foarte scurte (sub 46 de octeţi)bull Secvenţa de verificare a cadrului (FCS - Frame Check Sequence)-se obţine prin codificarea

polinomială cacircmpul permite detectarea erorilor de transmisie icircn momentul recepţionăriicadrului

Nivelul fizic este divizat icircn

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 40: Sinteza retele de calculatoare

Page40

bull Subnivelul PLS (Physical Layer Signalling)1048633 administrează interfaţa cu MAC1048633 asigură generarea semnalelor electrice pentru cifrele binare emise din subnivelul MAC1048633 codificarea semnalelor fizice recepţionate de pe suport icircn semnale logice pentru a fi transmise către

subnivelul MACbull AUI (Attachment Unit Interface) este opţională şi permite staţiei să fie la distanţă de suport AUI

defineşte interfaţa icircntre staţia propriu-zisă şi MAUbull MAU (Medium Attachment Unit)1048633 echipamentul care leagă o staţie la un suport dat1048633 realizează principalele funcţii ale nivelului fizic1048633 administreză toate funcţiile dependente de suport1048633 semnalele sunt codificate prin codul Manchester

bull MAU asigură următoarele funcţii1048633 transmisia unui semnal prin suport1048633 recepţia unui semnal ce provine din suport1048633 recunoaşterea prezenţei unui semnal prin suportul fizic1048633 recunoaşterea unei coliziuni1048633 icircntreruperea automată a transmisiei unui cadru anormal dimensionat

bull Suporturi pe bază de cablu coaxial 10BASE5 10BASE2 şi 10BROAD36bull Suporturi pe bază de cablu torsadat 1BASE5 [IEEE 8023e] şi 10BASET (Tndash Twisted Pair) Staţiile

sunt racordate icircn stea printr-un echipament numit hub care acţionează la nivel fizicbull Suporturi pe bază de fibră optică1048633 10BaseFP (P ndash Pasive Star) 10BaseFB (B ndash Backbone) defineşte o topologie icircn stea pasivă activă1048633 100BaseT (Fast Ethernet) 100BaseTX etcbull Arhitectura unui hub comportă două niveluri1048633 nivelul MDI (Medium Dependent Interface) cu o entitate pe portul de acces1048633 nivelul PLS pentru comunicarea icircntre porturi

bull Standardul IEEE 80211 se adresează tehnologiilor din reţelele locale wireless fiind asemănător normei pentru reţelele Ethernet cablate

bull Norma IEEE 80211 utilizează metoda de acces CSMACA (Carrier Sense Multiple Access Collision Avoidance)

Reţelele care utilizează IEEE 80211 includ două componente fundamentalebull Staţia (station - STA) sau dispozitivul client permite utilizatorului să acceseze şi să utilizeze resursele

reţelei wireless Staţia este un calculator sau un dispozitiv cu o interfaţă wireless Exemple laptop PDA (cum ar fi Blackberry Palm) telefon şi alte dispozitive cu capacitatea de a lucra fără cablu

bull Punctul de acces (Access Point - AP) icircn mod logic conectează dispotitive client şi oferă accesul la un sistem distribuit (distribution system - DS) icircn mod obişnuit este o reţea cablată

Standardul IEEE 80211 acceptă conectarea dispozitivelor icircn două moduri ad-hoc şi infrastructură

bull Modul ad-hoc cunoscut ca mod peer-to-peer permite dispozitivelor wireless să comunice icircntre ele icircn mod direct fără o infrastructură wireless sau conexiuni cablate Un set de staţii configurate să opereze icircn modul ad-hoc este cunoscut ca IBSS (independent basic service set)

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 41: Sinteza retele de calculatoare

Page41

bull Modul infrastructură WLAN conţine unul sau mai multe BSS (Basic Service Sets) Un BSS include un AP şi una sau mai multe staţii Icircn specificaţia IEEE 80211 o reţea multi-BSS este referită ca un ESS (extended service set)

Avantajele reţelelor wirelessbull Mobilitatea utilizatorilor accesul la resursele de reţea fără o conexiune fizicăbull Instalarea rapidă reţeaua nu mai este cablată se va reduce timpul de instalarebull Flexibilitate reţeaua wireless se poate instala rapid icircn locaţia dorităbull Scalabilitate configurarea reţelei WLAN se poate face icircn conformitate cu cerinţele diverselor aplicaţiibull Extensibilitate se pot conecta noi dispozitive fără cheltuieli suplimentare

Securitatea datelor

Securitatea electronică

bull Securitatea electronică este definită ca fiind politici recomandări şi acţiuni necesare minimizării riscului asociat efectuării tranzacţiilor electronice risc ce se referă la

breşe icircn sistem intruziuni sau furt sau orice mijloc tehnică sau proces utilizat pentru a protejainformaţiile unui sistembull Măsurile de securitate nu garantează eliminarea completă a oricărui risc dar poate să-l reducă la un

nivel acceptabilbull Securitatea IT ndash se concentrează icircn general pe crearea unei platforme de calcul unde

persoaneprograme să nu poată desfăşura acţiuni pentru care nu au drepturi alocatebull Asigurarea securităţii icircn sistemele informatice este o problemă esenţialăbull Uniunea Europeană a dezvoltat reguli pentru comunicaţii electronice sigure - de exemplu directiva

asupra semnăturii electronice sau legislaţia cu privire la protecţia datelor dincomunicaţiile electronicebull O sursă de ameninţare poate fi definită ca orice circumstanţă sau eveniment care ar putea produce

pagube icircntr-un sistem IT Sursa de ameninţare se poate folosi de o anumită vulnerabilitate a sistemuluibull O vulnerabilitate este o slăbiciune care poate declanşa accidental sau intenţionat o anumită exploatare

a sistemului O sursă de ameninţare nu poate reprezenta un risc atunci cacircnd nu există o vulnerabilitate pe care să o poată exploata

Principalele surse de ameninţare suntbull ameninţări naturale inundaţiile cutremure de pămacircnt alunecări de teren avalanşe etcbull ameninţări umane ndash evenimente care fie sunt provocatecauzate de fiinţe umane Acestea la racircndul lor

pot fi- acţiuni neintenţionate ştergerea unui fişier din neatenţie introducerea de date eronate- acţiuni realizate icircn mod deliberat atacuri asupra reţelei icircncărcarea de programe de aplicaţii

pentru a servi ca suport pentru atacuri acces neautorizat la informaţii considerateconfidenţiale

Sursa ameninţărilor umanebull hacker craker - manifestări de personalitate teribilism (ameninţarea spargerea de coduri sauşi

modificarea de programedate intruziunea sistemului perturbareafuncţionării accesul la sistem icircn mod neautorizat)bull criminal informatic - distrugerea de informaţii publicarea de informaţii ilegale cacircştigarea de venituri

modificarea neautorizată a datelor (ameninţarea distrugerea calculatorului acţiuni de fraudă coruţia informaţională)

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 42: Sinteza retele de calculatoare

Page42

bull terorism exploatarea agresarea distrugerea răzbunarea (bombăterorism război informaţional atac asupra sistemului (icircntrerupere serviciu) penetrarea sistemului

bull spionaj industrial avantaje competiţionale spionaj economicbull personal din interiorul societăţii (neglijenţa slaba pregătire rău intenţionat corupt etc) curiozitate

inteligenţă răzbunarecacircştiguri materiale (coruperea de informaţii introducerea de date corupte sau false interceptări introducerea de viruşi icircn sistem (bombe logice viruşi) vacircnzări de informaţii

bull Obiectivele fundamentale ale securităţii sunt- confidenţialitatea ndash prevenirea accesului neautorizat la informaţii garantarea procedurilor şi

metodelor ca informaţia care se află icircn tranzit sau stocată să fie accesibilă numai entităţilor autorizate să acceseze respectivele resurse

- integritatea ndash informaţia este protejată icircmpotriva pierderilor sau modificărilor neautorizate sunt asigurate procedurile şi metodele ca informaţia care se află icircn tranzit sau stocată să nu poată fi modificată

- disponibilitatea ndash capacitatea de a garanta entităţilor autorizate accesul la resursele solicitate atunci cacircnd au nevoie de ele prevenirea atacurilor sub forma de DoS (Denial of Service)

- conformitatea cu legile reglementările şi standardele aplicabile-Cerinţele de securitate pe care trebuie să le icircndeplinească un mediu electronic sunt1 Identificarea ndash procedurile necesare pentru identificarea utilizatorilor (entităţilor) care cer accesul la

un sistemreţea Identificarea permite contabilizarea tuturor operaţiunilor individuale şi previne accesul neautorizat

2 Autentificarea ndash procedura pentru verificarea identităţii entităţii care solicită acces la sistemul informatic procesul prin care sistemul validează informaţiile de conectare oferite de entitatea utilizatoare

3 Autorizarea ndash procedura prin care entităţii autentificate i se acordă dreptul să utilizeze resursele solicitate De obicei autorizarea este configurată de administratorul de reţea şi verificată icircn momentul cererii unei resurse

4 Responsabilizarea - este stracircns legată de măsurile de securitate impuse utilizatorilor sistemului care vor fi răspunzători pentru acţiunile icircntreprinse după conectare

5 Auditarea ndash analiza icircnregistrărilor activităţilor executate pentru a determina dacă sistemul de protecţie este icircn concordanţă cu politicile şi procedurile de securitate stabilite Scopul unui audit este de a identifica slăbiciunile legate de securitate sau a eşecurilor care pot fi corectate sau controlate

6 Integritatea sistemului ndash prin respectarea următoarelor măsuri- protejarea resurselor hardware software şi a datelor- separarea proceselor şi datelor sistemului- controlul acţiunilor şi operaţiilor de icircntreţinere7 Fiabilitatea serviciilor se referă la cacirct de uşor şi sigur un utilizator autentificat poate accesa şi utiliza

resursele unui sistem8 Documentarea privind securitatea este vitală pentru menţinerea unui anumit sistem de securitate

operaţional şi eficient

bull Cerinţele de securitate pot fi grupate pe domenii- securitatea operaţională- securitatea tehnică- managementul securităţii-bull Securitatea operaţională- controlul caracteristicilor spaţiului de lucru umiditate starea substanţelor nocive

temperatura

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 43: Sinteza retele de calculatoare

Page43

- controlul surselor de alimentare cu energie electrică accesul la date- distribuţia datelor icircn mediul exterior- facilităţile de protecţie fizică camere special amenajate pentru calculatoare centre de date

birouri- situaţia staţiilor de lucru laptop-urilor calculatoarelor personalebull Securitatea tehnică- comunicaţiile interconectarea sistemelor rutere dial-up- sistemele criptografice- controlul accesului- identificarea şi autentificarea- detectarea intruşilor- reutilizarea obiectelor- auditul sistemului-bull Managementul securităţii - procesele de stabilire şi menţinere a unui cadru de lucru şi a unei structuri

de administrare precum şi procesele care oferă garanţia că strategiile de securitate ainformaţiei sunt aliniate şi suportate prin obiectivele afacerii sunt icircn concordanţă cu legile şireglementările aplicabile prin respectarea politicilor şi controalelor interne

bull Acţiunile de atac pasiv- analiza reţelei (scanarea reţelei) - crearea unui profil complet al infrastructurii de securitate a

reţelei se utilizează o combinaţie de instrumente şi tehnici pentru icircntocmirea cataloagelor de informaţie despre reţeaua internă a organizaţiei vizate

- spionarea reţelei culegerea de informaţie din reţea cu intenţia de a o analiza şi valorifica personal sau să o pună la dispoziţia unei terţe părţi

- analiza traficului (ascultarea canalului) se determină natura traficului icircntre hosturile definite şi prin analiza duratei sesiunilor frecvenţei dimensiunea mesajelor metoda se utilizează cacircnd mesajele sunt criptate iar spionarea nu are rezultate

-bull Acţiunile de atac de tip activ- atacul icircn forţă (brute-force) utilizarea unor instrumente pentru depistareaspargerea

parolelor şi cacircştigarea accesului neatorizat icircntr-o reţea a unei organizaţii- Mascarada (masquerading) entitatea se prezintă cu o identitate falsă pentru a avea acces la

date secrete sau resurse ale reţelei pentru care accesul nundashi este permis cu propria identitate- refuzarea serviciului (denial of service) calculatorul conectat la Internet este invadat cu date

şisau cereri care trebuie să fie onorate resursele reţelei devin neoperaţionale- reluarea pachetelor (packet replay) combină atacul pasiv cu cel activ icircn mod pasiv sunt

capturate pachetele de date care trec printr-o reţea vulnerabilă sau neprotejată Aceste pachete sunt apoi inserate icircn reţea ca şi cacircnd ar fi un alt mesaj original

- modificarea mesajelor (message modification) ndash se referă la capturarea unui mesaj icircn vederea schimbării neautorizate sau ştergerea (a icircntregului mesaj sau numai o parte a acestuia) schimbarea ordinii sau icircntacircrzierea transmisiei mesajelor captate

- acces neautorizat prin Internet sau prin servicii care au la bază Web cum ar fi prin e-mail (SMTP) parole telnet transmise icircn clar (de la client la server) modificarea asocierii icircntre adresa IP şi numele de domeniu execuţia scripturilor pe partea de client (de exemplu applet-urile Java) prezintă pericol fiind executat

un cod de la o locaţie arbitrară pe o maşină client

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 44: Sinteza retele de calculatoare

Page44

- bombe şi spam-uri prin e-mail (e-mail bombing and spamming) - Bombele email constau icircn transmiterea repetată a aceluiaşi mesage la un anumit destinatar Spam-ul e-mail este o variantă de bombă icircn care acelaşi mesaj este transmis la sute sau mii de destinatari Acestea pot depăşi capacitatea de memorare a căsuţei poştale a destinatarului

- icircnşelarea prin e-mail (e-mail spoofing) ndash un utilizator receptionează un mail care apare ca avacircnd o anumită origine (expeditor) dar icircn realitate aceasta este falsă (icircn spatele mesajului se află un alt expeditor) Spre exemplu un e-mail care pretinde că vine din partea administratorului de reţea prin care se cere destinatarului să-şi schimbe parola cu una specificată icircn mesaj dacă nu face acest lucru este ameniţat cu suspendarea contului

- Infectarea (scopul general distrugerea resurselor informaţionale) prinminus cal troian (Trojan horses) - cod ascuns ce se execută ori de cacircte ori se rulează programul autorizat icircn

care s-a infiltrat deschizacircnd mai multe porţi virtuale pe calculatorul infectat permiţacircnd astfel intrarea hackerilor icircn sistem

minus virus (viruse) - cod de program maliţios care infectează fişierele unui calculator copiindu-se singur icircn respectivele fişiere atunci cacircnd acestea sunt icircncărcate icircn memorie

minusvierme (worm) - program care poate distruge datele sau să utilizeze icircn mod anormal procesele sistemului de operare se copiază singur icircn memoria calculatorului

minusbomba logică (logic bomb) pentru execuţie necesită date suplimentare cum ar fi programarea atacului sau modificarea datelor icircntr-un timp specificat

bull Un anumit nivel de protecţie şi securitate se poate garanta prin una sau mai multe din soluţiile1048633 criptarea - pentru protecţia datelor şi parolelor1048633 controlul accesuluiminus accesul la infrastructură pe baza cardurilor sau cheilor hard (chei USB)minus autentificarea prin semnături digitale şi certificate - verifică cine transmite date prin reţeaminus autorizare - previne accesul impropriuminus verificarea integrităţii datelor şi a codului de autentificarea a acestoraminus filtrarea pachetelorbull dezactivarea serviciilor care nu sunt necesare

bull Criptarea este procesul de transformare a unui mesaj dintr-o formă icircn care poate fi citit - text clar icircntr-o formă codificată

bull Criptarea icircn general se utilizează pentru- protejarea datelor tranzitate prin reţele icircmpotriva interceptărilor şi manipulărilor neautorizate- protejarea datelor stocate pe calculatoare icircmpotriva vizualizărilor şi manipulărilor

neautorizate- să icircmpiedice şi să detecteze modificarea accidentală sau intenţionată a datelor- să verifice autenticitatea tranzacţiilor sau documentelorbull Noţiunea de cheie se referă la o informaţie de regulă icircn formă binară de o anumită lungime care este

folosită icircmpreună cu un algoritm criptografic pentru criptare şisau decriptarebull La criptare cheia afectează modul icircn care datele sunt modificatebull La decriptare doar cu cheia corectă se pot recupera datele OriginaleFie M spaţiul mesajelor C spaţiul criptogramelor şi K spaţiul cheilor Un sistem criptografic constă dinEi MrarrC i 1048633 K (transformarea pentru criptare)Dj CrarrM j1048633 K (transformarea pentru decriptarecorespunzătoare) cu proprietatea că pentru orice cheie de criptare i 1048633 K există o cheie unică de

decriptare j 1048633 K astfel icircncacirct Dj = Ei -1Pentru criptare se poate folosi metoda substituţiei sau transpoziţiei

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 45: Sinteza retele de calculatoare

Page45

bull Cifru cu substituţie ndash fiecare literă sau grup de litere din textul sursă se icircnlocuieşte cu o altă literă sau grup de litere

bull Cifru cu transpoziţie ndash reordonează caracterele textului sursă Fie textul disciplinareteledecalculatoare pentru criptare se utilizează cheia CIFRA va rezulta textul criptat ialaaedpreltsiteuailedcocneclr

După modul de utilizare a cheilor sistemele criptografice sunt

sisteme criptografice cu chei secrete (simetrice) - cheia secretă (privată) este folosită atacirct pentru criptare cacirct şi pentru decriptarea mesajelor transmise icircntre părţi

sisteme criptografice cu chei publice (asimetrice) - se utilizează o pereche de chei - cheia privată şi cheia publică Cheia folosită pentru criptare (de exemplu cheia publică) este diferită de cheia folosită pentru decriptare (cheia privată)

Algoritmi pentru codificarea simetrică

bull algoritmi de tip bloc ndash operează asupra textului iniţial la nivel de blocuri debiţibull algoritmi de tip stream - operează asupra unui bit (sau byte) al textuluioriginal la un moment dat

Exemple de sisteme criptografice cu cheie simetrică

bull DES (Data Encryption Standard) standard dezvoltat de IBM DES operează pe blocuri de 64 de biţi şi are o cheie de 56 biţi DES a fost aprobat ca standard pentru tehnica de criptaredecriptare de către Oficiul Naţional de Standardizare al SUA (US National Bureau of Standard ndash NBS)

predecesorul lui NIST (National Institute of Standards and Technology)bull Triple-DES cheie de 112 biţi + 16 biţi de paritate sau cheie de 168 biţi + 24 biţi de paritatebull AES (Advenced Encryption Standard) ndash succesor al algoritmului DES bull IDEA (International Data Encryption Algorithm) - utilizează blocuri pe 64 de biţi şi chei de 128 biţi A

fost dezvoltat prin 1990 pentru a icircnlocui sistemul DES Cea mai semnificativă utilizare a IDEA este PGP (Pretty Good Privacy)

bull FEAL (Fast Data Encipherment Algorithm) este o familie de algoritmi care utilizează blocuri pe 64 de biţi şi chei de 64 biţi

bull RC2 şi RC4 algoritmi cu cheie variabilă de criptare icircntre 40 şi 128 de biţibull A5 este un exemplu de algoritm de tip stream pentru criptarea traficului din reţelele telefonice GSM

folosit pe larg icircn Europa

DES este bazat pe un algoritm de tip bloc mesajul sursă (textul clar) este icircmpărţit pe blocuri de 64 de biţi şi foloseşte o cheie de 56 biţi generată aleatoriu Fiind dat un bloc de text clar de 64 de biţi (m1m2m64) DES operează icircn 19 runde

bull icircn prima rundă este realizată o permutare iniţială (IP) independentă de cheie rezultacircnd un bloc de 64 de biţi care este icircmpărţit icircn două L0 cei 32 de biţi din stacircnga şi R0 cei 32 biţi din dreapta

bull urmează 16 runde funcţional independente prin care rezultatul anterior este supus unui proces de substituire permutare şi unei operaţii SAU-EXCLUSIV (XOR) avacircnd ca parametru cheia (la fiecare rundă este folosită o cheie diferită Ki)

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 46: Sinteza retele de calculatoare

Page46

bull icircn penultima rundă cele două grupe a cacircte 32 de cifre binare se reunesc după ce grupul celor 32 de biţi din stacircnga s-a schimbat cu cei din dreapta şi icircn ultima rundă are loc o permutare inversă celei iniţiale (IP-1) rezultacircnd un mesaj pe 64 de cifre binare criptat (c1c2c64)

Avantaje ale sistemelor de criptarea cu cheie simetrică criptarea cacirct şi decriptarea se realizează cu aceeaşi cheie transformarea se execută uşor şi repede datorită numărului mic decalcule conţinute icircn algoritm

Dezavantaje ale sistemelor de criptare cu cheie simetrică distribuţia cheilor este o problemă mai ales icircntr-un mediu de afacere managementul cheilor este o altă problemă cheia privată nu poate fi folosită pentru semnarea electronică a documentelor sau mesajelor

deoarece mecanismul este bazat pe o partajare secretă

bull Icircn cazul criptografiei cu cheie publică se asigură confidenţialitatea datelor numai destinatarul poate citi mesajul primit - el deţine cheia privată pentru decriptarea mesajului

bull Totuşi destinatarul nu poate fi sigur că mesajele recepţionate provin chiar de la cei care pretind că le-au expedit oricine poate folosi cheia sa publică pentru expedierea de mesaje

bull Criptografia cu cheie publică nu o o icircnlocuieşte pe cea cu cheie secretă De fapt cele două tehnici se completează pentru a oferi un nivel ridicat de securitate fără a diminua viteza şi performanţa

Exemplu de algoritmi de criptare care utilizează chei publice RSA (Rivest Shamir si Aldeman) chei de mărime variabilă icircn general icircntre 512 şi 2048 biţi Curbe eliptice chei de mărimi variabile icircn general pe 160 de biţi comparabile ca securitate

cu RSA de 1024 biţiSemnătura digitală utilizează sistemele criptografice cu cheie publică care pot garanta

confidenţialitatea - criptarea mesajului transmis se realizează cu cheiapublică a destinatarului autentificarea - criptarea mesajului transmis se realizează cu cheiasecretă a celui care expediază mesajul

bull Icircn 1991 a fost adoptat primul standard internaţional pentru semnătura digitală (ISOIEC 9796) - are la bază schema cu cheie publică RSA

bull Icircn 1994 guvernul SUA a adoptat DSS (Digital Signature Standard)bull Funcţiile de dispersie (hash functions) au un rol fundamental icircn sistemele criptografice moderne -

reprezintă un un instrument pentru crearea rezumatului unui mesajbull Funcţiile hash au ca intrare un mesaj de lungime variabilă şi generează un mesaj de lungime fixă

referit ca valoare hash cod hash rezultat hash sau hashbull Icircn mod obişnuit valoarea hash se reprezintă pe 128 sau 160 de cifre binarebull Cacircnd o funcţie hash utilizează o cheie privată ca un parametru de intrare secundar ieşirea va depinde

atacirct de mesaj cacirct şi de cheie şi poartă numele de codul de autentificare a mesajului (MAC - Message Authentication Code)

Principalele caracteristici ale unei funcţii hash sunt dintr-un mesaj de orice mărime se generează un bloc de date de dimensiune redusă şi fixă executacircnd aceeaşi funcţie hash

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 47: Sinteza retele de calculatoare

Page47

asupra aceluiaşi mesaj se va obţine acelaşi rezultatbull rezultatul operaţiei este imprevizibil - aceasta icircnseamnă că o modificare nesemnificativă a mesajului va

determina o schimbare radicală a valorii hashbull este ireversibilă - cu alte cuvinte nu există nici o modalitate de a obţine mesajul pornind de la valoarea

hashCele mai utilizate scheme pentru calcularea rezumatelor de mesaje sunt- MD2 (Message Digest) ndash valoarea hash de 128 de biţi- MD4 ndash valoarea hash este de 128 biţi- MD5 ndash schemă de dispersie standard icircn domeniu valoarea hash de 128 de biţi- SHA1 (Secure Hash Algorithm) ndash valoarea hash este de 160 de biţi-Dacă autentificarea mesajului recepţionat este principalul obiectiv se procedeazăbull se generează mai icircntacirci un rezumat al mesajului prin folosirea unei funcţii de dispersiebull se criptează rezumatul cu cheia privată a expeditoruluibull mesajul criptat rezultat reprezintă semnatura digitală şi se poate ataşa mesajului icircn clar

Operaţia de verificare la recepţiebull semnatura digitală se va separa de mesajul icircn clarbull se aplică funcţia hash (aceeaşi ca la emisie) mesajului icircn clar recepţionat şi se obţine un prim rezumatbull se decriptează semnatura digitală recepţionată cu cheia publică a expeditorului obţinacircndu-se cel de al

doilea rezumat al mesajuluibull se compară cele două rezumate obţinute anterior Dacă rezumatele sunt identice se poate declara că

mesajul nu a fost alterat şi provine de la adevăratul expeditor Icircn caz contrar fie conţinutul mesajului a fost modificat prin canalul de comunicaţie sau semnatura este falsă

Firewall este numele generic al unei componente de reţea care controlează traficul icircntre reţeaua de calculatoare a unei organizaţii şi cele externe prin utilizarea unor politici de securitate

Principalele funcţii ale unui firewall suntbull blochează accesul la site-uri particulare din Internetbull limitează traficul la unele servicii publice ale organizaţiei (se au icircn vedere adrese IP şi porturi)bull interzice anumitor utilizatori accesul la unele servere şi serviciibull monitorizează comunicţiile icircntre reţeaua internă şi o reţea externăbull monitorizează şi icircnregistrează toate comunicaţiile icircntre o reţeaua internă şi reţelele externebull criptează pachete transmise prin reţele VPNFirewall-urile pot fi clasificate dupăbull nivelul modelului de referinţă OSI (Open Systems Interconnect) la careoperează ruter pentru filtrarea pachetelor acţionează la nivel reţea inspectarea icircn funcţie de stare (ldquostateful inspectionrdquo) nivel transport firewall la nivel de aplicaţie nivel aplicaţie bull modul de implementare

bull Firewall-ul pentru filtrarea pachetelor deţine funcţii pentru controlul accesului pe baza unui set de reguli

bull Mecanismul de filtrare are capacitatea de identificare a pachetelor şi de specificare a modului icircn care acestea vor fi tratate (acceptate ignorate sau refuzate)

bull Regulile după care acţionează filtrarea pachetelor sunt stocate icircn tabele configurate de administratorul de sistem sau ofiţerul de securitate

bull Firewall-ul pentru filtrarea pachetelor are două avantaje principale viteza - deoarece datele corespunzătoare nivelurilor superioare nu sunt examinate

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 48: Sinteza retele de calculatoare

Page48

simplitatea

bull Dezavantaje ale firewall-urilor pentru filtrarea pachetelor nu pot preveni atacurile care exploatează vulnerabilităţile sau funcţiile specifice aplicaţiei (nu

examinează datele nivelurilor superioare) funcţia de notificare este redusă deoarece informaţiile disponibile icircn firewall sunt limitate nu suportă scheme avansate pentru autentificarea utilizatorilor sunt vulnerabile la atacuri prin care se utilizează elemente specifice stivei de protocoale

TCPIP cum ar fi falsificarea adresei nivelului reţea rutarea prin sursă fragmentarea unui pachet IPsunt susceptibile să creeze breşe de securitate printr-o configuraţie necorespunzătoare

bull Firewall rdquostateful inspectionrdquo un filtru de pachete care icircncorporează elemente necesare pentru crearea unui catalog unde sunt icircnregistrate toate conexiunile TCP solicitate din reţeaua internă

bull Dezavantaj mai dificil de administrat icircn comparaţie cu alte tipuri de firewalluri datorită complexităţii sale

bull Tipurile de firewall la nivel aplicaţie poartă la nivel de aplicaţie (application level gateway) sau agent proxy poartă la nivel de circuit (circuit level gateway)- realizează o conexiune controlată (circuit

virtual) icircntre un host intern şi altul extern

bull Dacă icircntr-o reţea internă este instalat un proxy cacircnd se lansează o cerere către un server din Internet cererea de la un calculator va fi transmisă către serverul proxy serverul proxy contactează serverul de pe Internet cu adresa sa ca adresă sursă (nu cu a

hostului care a lansat cererea) serverul proxy recepţionează datele de la serverul de pe Internet şi le transmite hostului care

le-a solicitatbull Adresa IP a unui calculator intern nu va fi cunoscută icircn afara reţeleibull Serverele proxy icircnregistrează informaţii despre cererile şi transferurile efectuate ca ulterior să se poată

face o analiză a accesului la Internetbull PPTP (Point-to-Point Tunneling Protocol) funcţionează la nivelul 2 (legătura de date) - are la bază

standardul PPP

bull PPTP icircmpachetează datele icircn cadre PPP şi apoi icircncapsulează pachetele PPP icircn datagrame IP pentru transmiterea lor printr-un tunel VPN prin Internet Astfel PPTP permite extinderea reţelelor private ale icircntrepriderilor prin utilizarea unor tuneluri proprii icircn infrastructura Internet

bull PPTP utilizează mecanismele oferite de protocolul PPP pentru menţinerea conexiunii icircncapsularea pachetelor şi pentru autentificarea utilizatorilor Pentru autentificare PPTP foloseşte cele două protocoale

CHAP (Handshake Authentication Protocol) - protocol de autentificare utilizat pentru conectarea unui utilizator la un server de acces la Internet

oferit de un provider Prin CHAP se verifică icircn mod periodic identitatea unui client ori de cacircte ori server-ul va solicita această operaţie

PAP (Password Authentication Protocol) De exemplu icircn implementarea oferită de indows 2000 cadrele PPP sunt criptate cu ajutorul MPPE

(Microsoft Point-to-Point Encryption)bull Reţelele private virtuale utilizează diverse mecanisme şi protocoale pentru transmisia prin tunele

obţinerea confidenţialităţii autentificarea emiţătorului şi integritatea mesajelor Cacircnd metodele şi tehnicile sunt bine alese implementate şi utilizate pot furniza comunicaţii securizate peste o infrastructură publică

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 49: Sinteza retele de calculatoare

Page49

bull Pentru asigurarea securităţii icircntr-o reţea privată virtuală (icircn afara protocolului PPTP) se pot folosi următoarele protocoale

L2F (Layer 2 Forwarding) - dezvoltat de Cisco L2TP (Layer 2 Tunnelling Protocol) - dezvoltat printr-o colaborare icircntre Microsoft şi Cisco IPSec (Internet Protocol Security) - constituie suport pentru tunelare asigură securitate la

nivelul reţea prin furnizarea unui canal securizat pentru datele transmise Gradul de securitate are la bază antetul de autentificare criptarea sau ambele

bull Din punct de vedere tehnic IPSec are două părţi prima parte descrie două noi antete care pot fi adăugate pachetelor pentru a transporta

identificarorul de securitate controlul integrităţii datelor şi alte informaţiiminus AH (Authentication Header) ndash antetul de autentificare permite verificarea integrităţii şi oferă servicii

icircmpotriva reluării pachetelor dar nu asigură servicii pentru criptarea datelor Se poate folosi prin IPv4 şi IPv6

minus ESP (Encapsulating Security Payload) asigură protecţia datelor prin icircncapsulare10486331048633partea a doua ISAKMP (Internet Security Association and Key Management Protocol) este

protocolul care se ocupă cu administrarea cheilor folosite prin asocierea de securitate pentru conexiune Protocolul descrie faza de negociere icircn vederea stabilirii reţelei VPN

bull IPSec poate fi utilizat icircn două moduri modul transport ndash antetul IPSec este inserat după antetul IP Cacircmpul Protocol din antetul IP

este schimbat pentru a specifica existenţa antetului IPSec după un antet IP normal Antetul IPSec conţine informaţii pentru securizare identificator SA (SA - security association) un nou număr de secvenţă şi posibilitatea de verificare a integrităţii datelor

modul tunel icircntregul pachet IP antetul şi celelalte cacircmpuri sunt icircncapsulate icircntr-un nou pachet cu un antet IP complet nou Modul tunel este utilizat icircn general cacircnd capătul terminal al unui tunel este altul decacirct destinatarul final Icircn unele cazuri capătul terminal al unui tunel este un calculator cu rol de gateway de securitate

bull Protocoalele de securitate care acţionează la nivel transport sunt SSL (Secure Socket Layer) ndash a fost dezvoltat de către Netscape Communications pentru a

asigura securitatea transferului informaţional icircntre aplicaţiile cu arhitectura client-server din Internet SSL oferă facilităţi de securitate prin autentificarea serverelor şi clienţilor şi prin criptarea comunicaţiei Protocolul SSL este independent de protocoalele nivelului

aplicaţie care operează icircn mod normal peste TCP Astfel HTTP FTP SMTP şi Telnet pot funcţiona cu SSL

TSL (Transport Layer Security) ndash permite clienţilor să autentifice serverele şi facultativ serverelor să autentifice clienţii Canalul de transmisie este sigur comunicaţiile fiind criptate Icircntre SSL 30 şi TLS 10 sunt mici diferenţe

PCT (Private Communications Technology) standard dezvoltat de Microsoft recunoaşte autentificarea şi criptarea pentru asigurarea confidenţialităţii comunicaţiilor prin Internet

Componentele protocolului SSL pot fi organizate pe două subniveluri funcţionalebull protocolul de negociere care include sursele diferitelor mesaje SSLbull nivelul de icircnregistrare (Record Layer) ndash are rolul de icircncapsulare a mesajelor generate icircn subnivelul de

negociere şi defineşte un format comun pentru toate mesajele transmise icircn cadrul unei sesiuni

bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică
Page 50: Sinteza retele de calculatoare

Page50

- SSH (Secure Shell) este unul din cele mai populare protocoale utilizate pentru deschiderea unei sesiuni de comunicare pe un calculator de la distanţă SSH funcţionează icircntr-un mod asemănător cu Telnet dar are capacitatea să cripteaze icircn mod automat toate datele transmise icircn reţea inclusiv parole fişiere binare şi comenzi de administrare şi tot icircn mod automat vor fi decriptate la recepţie Criptarea este transparentă utilizatorul lucrează normal el nu este interesat de criptarea mesajelor transmise prin reţea

- SHTTP (Secure HyperText Transfer Protocol) este un protocol folosit icircn comunicaţiile securizate dintre clienţii şi server-ele Web SHTTP este compatibil cu HTTP fiind un protocol de comunicaţie orientat pe mesaje care oferă servicii de securitate confidenţialitatea tranzacţiilor integritatea datelor nerepudierea originii datelor SHTTP transmite mesaje sau pachete securizate icircntre clientul şi server-ul web prin stabilirea unei conexiuni de tip SSL

-bull Protocoalele de securitate care acţionează la nivel aplicaţie sunt- SET (Secure Electronic Transaction) reprezintă un standard deschis pentru domeniul

comercial avacircnd capacitatea de a securiza tranzacţiile prin cărţi de credit pe Internet A fost dezvoltat de Visa MasterCard IBM Microsoft Protocolul are la bază certificatele digitale SET defineşte rolurile şi relaţiile icircntre părţile implicate icircn tranzacţiile pe Internet care sunt cerinţele de securitate şi cum pot fi icircndeplinite

  • Introducere
    • Definitii
    • Avantaje si dezavantaje
    • Clasificare
    • Componente de retea
      • Arhitectura comunicatiei
        • Notiuni generale
        • Principiile conceptiei pe niveluri
        • Modele de referinte OSI-ISO SI TCP-IP
          • MODELUL DE REFERINTA OSIISO
          • MODELUL DE REFERINTA TCPIP
              • Nivelul aplicatie
                • Protocoale ale nivelului aplicatie
                • Servicii Internet
                • POSTA ELECTRONICA
                  • TRANSFERUL DE FISIERE
                  • WEB
                    • Protocoale de nume si directoare DNS SI LDAP
                      • Nivelul transport
                      • Nivelul reţea
                      • NIVELUL LEGĂTURA DE DATE
                      • Nivelul fizic
                        • MODULE FUNCTIONALE ALE NIVELULUI FIZIC
                          • Arhitecturi ale reţelelor locale
                            • Structura cadrului IEEE 88023
                              • Securitatea datelor
                                • Securitatea electronică