1. Planificarea securitatii retelei n2j18jf
Intr-o retea de calculatoare, trebuie sa existe garantia ca datele secrete sunt protejate, astfel inca t doar utilizatorii autorizati sa aiba acces la ele.
Vulnerabilitatea retelelor de calculatoare se manifesta in doua moduri :
- Modificarea sau distrugerea informatiei (atac la integritatea fizica)
- Posibilitatea folosirii neautorizate a informatiilor
Asigurarea „securitatii datelor” stocate in cadrul unei retele de calculatoare, presupune proceduri de manipulare a datelor care sa nu poata duce la distribuirea accidentala a lor si/sau masuri de duplicare a datelor importante, pentru a putea fi refacute in caz de nevoie.
A avea o retea de calculatoare cu acces sigur la date, presupune o procedura de autentificare a utilizatorilor si/sau de autorizare diferentiata pentru anumite resurse.
Orice retea trebuie asigurata impotriva unor daune intentionate sau accidentale. Exista patru amenintari majore la securitatea unei retele de calculatoare :
- Accesul neautorizat
- Alterarea electronica a datelor
- Furtul de date
- Daunele intentionate sau accidentale
Cade in sarcina administratorului de retea sa asigure o retea sigura, fiabila si pregatita sa faca fata pericolelor de mai sus.
Vom considera ca o retea de calculatoare este sigura daca toate operatiile sale sunt intotdeauna executate conform unor reguli strict definite, ceea ce are ca efect o protectie completa a entitatilor, resurselor si operatiilor. Lista de amenintari constituie baza definirii cerintelor de securitate. O data acestea fiind cunoscute, trebuie elaborate regulile conform carora sa se controleze ansamblul operatiilor retelei.
Aceste reguli operationale se numesc “servicii de securitate”, iar implementarea serviciilor se face prin protocoale de securitate.
Pentru a defini o retea sigura de calculatoare trebuie elaborate urmatoarele :
- Lista cerintelor de securitate
- Regulile de protectie si securitate
- Mecanismele de securitate

DEFINIREA POLITICILOR DE SECURITATE

Asigurarea securitatii retelei presupune adoptarea unui set de norme, reguli si politici, care sa nu lase nimic la voia inta mplarii.
Intr-o retea de calculatoare modelul de securitate presupune trei nivele :
- Securitatea fizica
- Niveluri logice de securitate
- Conectare sigura
Politicile de securitate stabilesc orientarea generala si ofera linii directoare pentru administratorii si utilizatorii de retea, in cazul unor situatii neprevazute.
Cele mai importante politici de securitate sunt :
• Prevenirea
• Autentificarea
• Instruirea
Prevenirea este cea mai buna politica de protejare a datelor. Prin prevenirea accesului neautorizat in retea, datele vor fi in siguranta.
Autentificarea este politica prin care se asigura o prima linie de aparare impotriva utilizatorilor neautorizati. Aceasta inseamna, ca accesul intr-o retea necesita un nume de utilizator valid si o parola.
Instruirea este o politica pe care administratorul de retea trebuie sa o promoveze permanent in ra ndul utilizatorilor. Pentru aceasta, administratorul trebuie sa elaboreze un ghid, clar, concis cu notiunile pe care utilizatorii trebuie sa le cunoasca cu privire la procedurile de operare si de asigurare a securitatii.

SECURITATEA FIZICA A ECHIPAMENTELOR
Primul lucru care trebuie luat in considerare pentru protejarea datelor il reprezinta securitatea fizica a echipamentelor hardware ale retelei. Gradul de securitate depinde de :
- Dimensiunile organizatiei
- Confidentialitatea datelor
- Resursele disponibile

Asigurarea securitatii serverelor

Intr-o retea de dimensiuni mari in care majoritatea datelor sunt confidentiale, serverele trebuie sa fie la adapost de eventualele distrugeri intentionate sau accidentale. Cea mai simpla solutie este de a inchide serverele intr-o incapere in care accesul este limitat.

Protejarea cablului

Cablul de cupru, cum ar fi cel coaxial, se comporta asemeni echipamentelor radio, emita nd semnale electrice. Cu un echipament de ascultare adecvat, aceasta informatie poate fi monitorizata. De asemenea, pe cablul de cupru se poate intercala un dispozitiv de interceptare, astfel inca t informatiile sa fie furate direct. In acest context, in faza de proiectare, traseele cablurilor trebuie sa fie stabilite in asa fel, inca t sa nu permita accesul persoanelor neautorizate. Cablurile de cupru pot fi dispuse in structura cladirii, prin tavan, perete, sau podea.

Salvarile pentru copii de rezerva ale datelor si programelor

Siguranta efectuarii operatiunilor de salvare a datelor si programelor, pe suporti magnetici, precum si a pastrarii acestora in conditii de deplina securitate, este o mare problema.
Administratorul de retea trebuie sa prevada reguli si norme stricte pentru efectuarea operatiunilor de salvare, ca t si pentru conditiile de pastrare in siguranta a suportilor magnetici respectivi.

MODELE DE SECURITATE
Dupa implementarea securitatii la nivelul componentelor fizice, administratorul trebuie sa se asigure ca resursele retelei sunt protejate impotriva accesului neautorizat si a distrugerilor accidentale sau intentionate. Atribuirea permisiunilor si drepturilor de folosire a resurselor retelei reprezinta factorul principal care face ca o retea sa devina un puternic instrument de afaceri.
Pentru protejarea datelor si a resurselor hardware s-au dezvoltat doua modele de securitate :
• Partajari protejate prin parola
• Permisiuni de acces
Aceste modele se mai numesc si securitate la nivel de partajare (share-level), respectiv securitate la nivel de utilizator (user- level).
Unele companii utilizeaza ambele metode de securitate.

Partajari protejate prin parola

Partajarile protejate prin parola se axeaza pe resursele partajate. Un utilizator trebuie sa introduca o parola pentru a avea acces la o anumita resursa. Implementarea partajarii protejate prin parola presupune atribuirea unei parole pentru fiecare resursa partajata. In multe sisteme, resursele pot fi partajate folosind diferite tipuri de permisiuni.
De exemplu in Windows 95 (Fig. 1) directoarele pot fi partajate Read Only (protejate la scriere),
Full (complet la dispozitia utilizatorului pt. : vizualizari, scrieri, modificari, stergeri) sau Depends of
Password (in functie de parola).


Fig. 1 Partajarea protejata prin parola a directorului Program File

Sistemul de partajare protejata prin parola reprezinta o metoda simpla de a asigura securitatea retelei, permita nd accesul la o anumita resursa pentru orice utilizator care stie parola.

Permisiuni de acces

Acest model de securitate presupune atribuirea anumitor drepturi la nivel de utilizator. Atunci ca nd deschide o sesiune de lucru in retea, utilizatorul scrie o parola (Fig. 2). Serverul valideaza combinatia nume utilizator -; parola si o foloseste pentru a acorda sau a interzice accesul la resursele partajate, verifica nd baza de date cu permisiunile de acces ale utilizatorilor.

Fig. 2 Verificarea parolei de acces in retea

Protejarea resurselor

Dupa ce un utilizator a fost autentificat si i s-a permis accesul in retea, conform reprezentarii din fig. 2, sistemul de securitate ii ofera acces la resursele respective.
De retinut : utilizatorii au parole, iar resursele au permisiuni.
Fiecare resursa este protejata printr-un “gard” de protectie. Acest gard are mai multe porti prin care un utilizator poate patrunde. Anumite porti acorda utilizatorilor privilegii deosebite fata de resursa respectiva. Administratorul hotaraste care utilizatori pot trece si prin care porti. Una dintre porti ofera utilizatorului acces complet la resursa. Alta poarta acorda doar dreptul de citire a informatiilor. Fiecare resursa partajata (sau fisier) este pastrata impreuna cu o lista de utilizatori sau grupuri si permisiunile asociate acestora.

CRESTEREA NIVELULUI DE SECURITATE
Exista urmatoarele modalitati prin care un administrator de retea poate imbunatati nivelul de securitate intr-o retea :
- Auditarea
- Calculatoare fara unitati de disc
- Criparea datelor




Prin operatia de auditare (inspectare, examinare) se inregistreaza intr-un jurnal de securitate al serverului anumite tipuri de evenimente. Aceste inregistrari indica utilizatorii care au incercat si eventual au reusit sa obtina acces la anumite resurse. In acest fel se pot identifica activitatile si persoanele neautorizate.
Auditarea permite inregistrarea unor evenimente cum ar fi :
- Incercari de deschidere si inchidere a unei sesiuni de lucru
- Conectarea si deconectarea la/de la resurse specificate
- Terminarea conectarii
- Dezactivarea conturilor
- Deschiderea, modificarea si inchiderea fisierelor
- Crearea sau stergerea de directoare
- Modificarea parolelor

Calculatoare fara unitati de disc

Calculatoarele fara unitati de disc (diskless computers) pot indeplini toate functiile unui calculator obisnuit, cu exceptia salvarii datelor pe o discheta sau pe un hard disc local. Aceste calculatoare sunt ideale pentru asigurarea securitatii unei retele, deoarece utilizatorii nu pot lua cu ei datele pe care le vizualizeaza. Aceste calculatoare comunica cu serverul si deschid o sesiune de lucru datorita unui cip
ROM special, pentru initializare, instalat pe placa de retea a calculatorului. La pornirea calculatorului serverul prezinta utilizatorului un ecran de conectare. Dupa ce utilizatorul se autentifica, calculatorul este conectat in retea.

Criptarea datelor

Inainte de a fi transferate prin retea, datele sunt codate cu ajutorul unui utilitar de criptare. Atunci ca nd datele ajung la calculatorul destinatar, codul receptionat este decriptat cu ajutorul unei chei, informatia redevine lizibila. Schemele de criptare avansata a datelor, automatizeaza ata t procesul de criptare, cat si pe cel de decriptare. Cele mai bune sisteme de criptare sunt cele care folosesc componentele hardware, dar acestea sunt foarte scumpe.

DES (Data Encryption Standard) reprezinta standardul traditional folosit pentru criptare Ata t expeditorul, ca t si destinatarul trebuie sa aiba acces la cheie. Vulnerabilitatea sistemului DES consta in faptul ca singura modalitate prin care cheia ajunge de la un utilizator la altul este transmiterea ei, de cele mai multe ori printr-un canal nesigur.
CCEP este un standard mai nou, creat de NSA (National Security Agency), folosit de organizatiile guvernamentale. Producatorii sunt autorizati sa incorporeze algoritmi de criptare in sisteme de comunicatie, NSA sugera nd ca ei insisi sa ofere utilizatorilor acestor sisteme cheile de criptare.

SECURITATEA ACCESULUI IN INTERNET
In cadrul operatiunilor (tranzactiilor on line) ce se efectueaza in Internet se impun masuri de securitate deosebite, ce trebuie sa limiteze accesul la informatii, asigura nd in principal caracterul privat al datelor, integritatea si imposibilitatea repudierii.



Fig. 3. Securitatea datelor in Internet

Accesul este controlat prin intermediul certificatelor digitale. Certificatul digital se obtine prin informarea unei autoritati de certificare CA privind datele personale. O data autentificat, se poate incepe sesiunea de lucru cu criptare si securitate (Fig. 3).
Sistemele firewall
Firewall (parafoc - zid de protectie) reprezinta o procedura de securitate care plaseaza un calculator special programat, intre reteaua locala (LAN) a unei organizatii si Internet. Calculatorul firewall impiedica accesul spargatorilor de coduri la reteaua interna (intranet).
Din pacate nu permite nici utilizatorilor retelei locale obtinerea accesului direct la Internet, permita nd doar un acces indirect, controlat de programe numite servere delegate.
Sistemele firewall utilizeaza de cele mai multe ori una din urmatoarele doua metode :
ÿ Filtrarea pachetelor
ÿ Servicii proxy
Sistemele firewall cu filtrarea pachetelor de date examineaza fiecare pachet care “vrea” sa intre sau sa iasa in/din retea si-l compara cu o lista de criterii programata. Pachetele sunt blocate, daca nu sunt marcate specific ca “libere”.
Sistemele firewall proxy actioneaza ca intermediari la cererile retelei, necesita nd ca fiecare client sa fie astfel configurat inca t sa ceara serviciile proxy sa se conecteze la un server inainte de a apela serviciile retelei.
In acest domeniu, programele CyberGuard Firewall si CheckPoint Firewall, ofera in prezent o teleadministrare sigura si eficienta a tranzactiilor si operatiunilor on line.

Semnaturi digitale
Semnaturile digitale asigura un nivel de integritate si imposibilitatea de repudiere pentru oricine este ingrijorat de folosirea datelor si accesul neautorizat la informatii in cadrul diferitelor servicii
Internet.

Exista multi algoritmi de semnatura digitala in literatura de specialitate. Practic s-au impus trei dintre acestia :
ÿ Standardul de semnatura digitala (DDS) a guvernului SUA
ÿ Semnatura pe baza de hash
ÿ Semnatura RSA creata prin utilizarea algoritmului clasic dezvoltat de Don Rivest
Fiecare dintre algoritmi are utilizare diferita si cerinte diferite.