Terry William Ogletree Firewalls Protectia retelelor conectate Ia Internet Traducere de Moraru Florin, Mocanu Cristian TeoraTitlul original: Practical Firewalls ‘© Copyright © 2001 Teora ‘Toate drepturile asupra versiuni th limba romana apartin Edituril Teora, Reproducerea integrald sau parfialé a textulul sau a ilustafior din aceasta carte este posibllé numai ‘cu acordul prealabil sris al Edituri Teora. ‘Authorized translation from the Engish language edition ented ,Pracical Frewalls* published by QUE Corporation Copyright © 2000 ‘llrightsreserved. No part of this book may be reproduced or transmitted in any form orby any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without pormission from the Publisher. Romanian language edition published by Teora Publishing. Copyright © 2000 Teora Calea Moslor nr. 211, sector 2, Bucuresti fax: 01/210.38.28 mal teora@teora kappa. ‘Teora — Cartea prin post CP 79-30, cod 72450 Bucuresti, Romania tel: 017252.14.31 e-mail: epp@teora.kappa.ro Coperta: Gheorghe Popescu ‘Tehnoredactare: Techno Media j Pregedinte: Teodor Raducanu NOT 4748 CAL FIREWALLS PROTECTIE, RETELE ISBN 973-20-0216-6 Printed in Romania yee? Cuprins artea I aon eNauw Portea a Partea « W2 13 14 15 16 7 18 19 20 au ‘Sé infelegem firewall-urile si securitatea in Internet ....... oe Blamente de bazi despre firewali-uti ceteeeee 13 Intoducere in suita de protocoale TCP/IP... 6.04... 26 Seauritate si Internet... seve -.58 Politi de securitate pentra firewall-uri si strategii de proiectare a ficewallurilor 6... eeeee seetee B Fileearea pachetelor...0.0....6 00 ceeeeee seen Utilizarea unei gazde bastion. 6.6606 cecceeeeeeeeeeeeeees H12 Port de aplicati si servere intermediar. beceeeeeeees AE Teknici de monitorizate si auditare a sistemelor de operare.... 148 @ Criptare si comunicafil sigure in Internet ... 165 ‘Tehnologii de criptare +166 Regele vstuale private (VPN) si tunis... cece ATS Utilzatea programului PGP Prety Good st Peg) pensmu criprase wee 188 a Instalarea sl configurarea firewall-urilor... 197 Instcumente pentru firewall-uti disponibile in Internet........ 198 Uuliaares produsulai TCP Wrappers 208 Folesirea sctului de instrumente FWTK (IIS Firewall Toolkit)... ee 27 SOCKS.. 241 sQuIp cece 249 Uillzsea progeamelor ipa 5 caine sub Linux . wees 258 Mictosoft Proxy Server... 272 Firewall-ul Elton Command View 288 Dispozitive firewall, . 299 Firewall-uti si mai mule decit ati 3066 cUPRINS Partea a IV-a Anexe.. cee ee B16 A Portuti uzuale TCP si UDP ...--..eeeeeee 317 B Alte instrumente de securitate pe care le putefi folosi......... 364 © Resurse suplimentare 372 378 Despre autor Terry Ogletree este consultant si lucteaz’ in prezent in New Jersey. Lucre: volumul 4 al seriei Windows NT 4 Resource Library, public Ja editura Sams. fn plus, a sau i visita pagina de prezentae la adresa www twang. om are ce sunt CRACK gi SATAN? ‘Cum pute si croajl un canal sigur, securzat Peniry datole companiel dumneavoastra tune’ cénd este uiizata reteaua intemet? ‘Ge este un atac de tip interzicerea servic (Ge face mal exact un fits de pachete? Tavita de coastal intrmeciar pot f combinate cu frarea pachetelor pentru a crea frewal-ur mal soeurzate Nil un firewall u es poroct. Veh 58 it ca broge erst? Ce uiltare incorporate de rare a pachetelor suntinluse in setemul de operare Linux? (0 este TIS Internet Firewall Took? fobtine dn internet apicati (gratuite sau shareware pentru eva constr tn firewall propru? Thvdlati despre configurarea s illzarea audit sla fglerolor Jura (Ge reprezintlprogramul TOP Wrappers gi cum ute! 8& T configura pe un sistem UNIX? Nuva place e& nncali SQUID". Ce rol poate Joa isa tnt fiewal? TOP, UDP, ICMP gi protocoalele asoclate firowal-urior surd at&t de complica, ns sunt fect usor de rales, ‘Aji auaitc& trebu sf instalai un firewall pentru c& fa dunn wavoastra primeste s€ptimana vitoare o conexunela Internet. Nu aveti rol oidae? ‘Dac toomal aitsrminat procesul de ‘nfelegere a versuni curante de TCPIP, asteptati pana citi despre IPV6! tel s& instala ie flosif software-ul Microsoft Proxy Server pentru a crea un firewall securlzat? Va este teamé sé utlizal solware descaroat din Internet? Produsele firewall comerciale pot ‘ietine siusor de instalet, contigurat gi Ver! anexa B, Alle instrumente de securtate e care le pu pagina 364 \Veri Ce asta o rejea vitvald privatf™ in capitolul 10, pagina 176, Veal .Atacuri de tp interzcerea servielulur in capitol 3, pagina 63. Vedi ,Uilizarea unui fra de pachete, capitlul 4, pagina 81, ‘Ver! .Stratagi pentru frewall-ur, in eapiolal 4, pagina 81 ‘Vez! Jmpotiva clror paricole nu vA poate ‘para un firewall, in capitolul 1, pagina 23 Veri.Ce sunt iptvadim si jochans?™ ‘captoll 17, pagina 258, ‘Vea! capitol 14, -Folosrea setull de Inst ‘mente FWTK (TIS Firewall Took)", pagina 217 Vedi capitlul 12, Instrumente pentru frewail-uricisponioie ir Internet, pagina 198, Ved! capitolul 8, .Tehinil de monitorzare gl auditare a sistemelor de oparare’, pagina 148 Ver! Cum funcfioneaz& programul TCP Wrappers’ n capitol 13, pagina 209. Ver! ,Co este SQUID? n capitol 16, pagina 248, Vex! capitol 2, ,ntroducere In suita de Protocole TOPIIP*, pagina 26. Vezi capitol t, Elemente de bazd despre tewal-ur, pagina 13. Vezi capitolul 21, -Firewall-ut imal mult dectt atét’, pagina 906. Verl capitlul 18, Microsoft Proxy Server, pagina 272, ‘Ver! capitlul 19, Firewall Ean CommandView pagina 268. administrat. —_——o— eee 1 Tnenglezt, equ = eslmarintrad)Introducere i ir is ta in toate aspectele vietii a doa cyva ani, Interne a inceput sp fack smh preven in tote aspecile ve Cote tn uandton cg ans cease Intec or deen penta cx al mae parte a populatii la fel de obisnuite ca un telefon. O dati cu aceastl tehnologie aflati in Pi Are ea eet en donee nos, emi cesaja Meese pena thlizate pentra protejarea datelor ga resurslor dint sefea nu vor fsufciente penta a asigara secuttare datelorIn acest now domenis : a Penira a proteja sigur o rejea conectath la Intemet, tebuie st folosji un firewall. TTeemenul fava! poate fi ulizat pentru a denumi o gami laspi de produse proiectate si ajute ln protec reel dumeavousta impotiva ameninglorexterne pin linarea ea tare poate al apack Inve cejeaua propde qi Inteme. Cele dou tchnologii de bazi utilizate pentru a crea sisteme firewall sunt flrarea pachetdor ars fining ppl mrad pr aan pro eg) Dc lege tel de funcfionare a acestor tehnologii, vA va fi mai ujor si construifi sau si achizitionayi . firewall pentra rejeaua damnewoastd, In acca carte, vey Inviga despre ambele tehnologi, ex si despre alte caracerste importante ale uni firewall cum ar &insegie tiara in amnal,avertizarea l autendfcarea. : Coton in present ext mul zo cc vind prune enamide fra Girvan) aztec ca Inainte a face 0 achizie importants eh alocal mp lucreaes Sac putea sf vise pac posbl sf eres a med mai igo prin coasricen uni firewall props, folosind un sofewate isponibi pan descireae dn Internet, cum 8 2S nuit Peel Tools 10? Wingert comet Suze doponise poe cl dpe Frewal-u ar dng seen dour cea fot edit in ulm an, Uncle nce ok prerne toate temee posible, in mpce alle fe seen la un anumit prod firewall In aceat care am inert sh prin tora ate conceptele impoztante folosite pentru crearea firewall-uilor si apoi si att cam sunt implementteacste concept ulishndproduse specfice aut gait ct comercil Ce contine aceasta carte? i lucere simpli la subiecte Conginutul acestei cir este aranjat pentra a trece de la o introducere simp! ‘efi dos! probabil sf si peste capitol respectv. Referingele inerucgate din cadrl textului fac mai usor de gisit informagile daci veyi descoperi mai titziu ci trebuie si eveniti pentru a ingelege mai bine un concept. 1 iba rom, fcewall mai fort tradus prin parafoc, prct/:id parafoc/igifug, 2idanifor, Aig depron ce if de foe Tomson sft fl sl alt Tn done cconstrucpilor (dar si in aviaie) si semnifick un sistem de protectie impotrva incendilor. Ia aceasti carte Vom folosi termenul original din limba englezi, jimall Termenul va fi expicat detaliae fn Capitol 1. (atrad) INTRODUCERE 9 ee eeeeeeee Capitol 1, ,Blemente de bazi despre frewall-usi“,reprezintio introducere in domeniul firewall-uilor.Aici vei gis o analiza refectoare Ia motivele pentra care ji putea avea nevoie de un fcewall si informaii despre tpusie de lucruri de eare vi poste proteja un firewalls, respectv, acrusi de eaze ni vi poste apira Capitolul 2, ,Introducere in suita de protocoale TCP/IP", este dedicat utilizatorilor care ‘au cunose inci destul de bine protocoalele TCP/IP si utilitarele asociate acestora in vederea furniti de servici de rejea, Dack a! utat cum fancyioneazi clasele de adsese san cum si organiza tn subrefele un spariu de adrese, city acest capitol 45 capitolul 3, Securitate si Internet’, sunt discutate cdteva diferenge Intre modul de implementare a icusitigi into rejea simplk si modul eum ar trebudimplementatl tunel cind vi conectayi lao reyea mai mare, cum este Intemeral, De asemenea, veg gs sic 0 Prezentare a torva merode uzuale folosite de hackes, cum ar ff aucunie de tp Interzicereaservciului si falsifcarea adreselor IP. {n capitolul 4, ,Poltiei de securitate pentra frewalluci si strategii de proiectare a frewalluslor’, vei gis’ informagi despre difeitele arhitectui pe care le putef folos Pentru a crea un firewall, Aci ve invite l ce pot seri o zona DMZ sau o gard cu dout pilkci de rojea si ves gisio introducere in tchnicile de fltrare a pachetelor $i de intermecing de splicage, Acest capitol vi va permite si lua decizil importante referitoare la modul de creare 4 unei politi! bune de secuctate pentru refeaua dumnesvoastil si la modul de mplementare a scelel polici ew sjutoral unui firewall tn capiolal 5, nfltares pachetelor" este discutat cel mai vechi cp de rewall, Ail vey laviga despre modul fn care au fost dezvoleate echnicileutlizae prima datk pe rateele ea eeranare pentru a oferiun mecanism care poate si impiedice traficul IP nedorit si treact prin bariera firewallulai si sk pitrundé fn feeaua dumneavoasts, Capitolul 6, ,Uitzarea une grade bastion", prezine’ probleme importante de configurase Pe care trebuie si le luagi in considerare atunci cind selectai calculatoarele care vor fi uilzate pentru a ofeti servicii de firewall Aceste calculatoare sunt cele mai vulnersbile grade din reqea deoarece sunt expuse in Internet, si din acest motiv trebuie +4 fe bine configuente pentra a impiedica pitrundezeaintraglor {in capitoal 7, ,Porg de aplicai pi seevere intezmediae, este analzatlo tehnick mai nowt vallaae a Brewall-uc fa tmp ve un flea de pachete poate fi flosit penemu t pesmite saa 4 interaice fuxal de pachete IP tntreregeaua dummieavoastei ji exterior, setveree interme, diat pot fi utlizate pentru a oferi servicii de seyea fri a permite un flux IP disect inte client si server. Capitolul 8, ,Tehnici de monitorizare si auditare a sistemelor de operate", analizeart metode bine cuncscute de configurate a auditici pe sistemele UNIX si Windows NT Capicolul 9, ,Tehnologi de eriptare" ar trebul ctitdact incl nu Infelegey eonceptle cxiprografice fundamentale. Aici puteyitavita despre diferenjele inte tebnicile ow’chel secrete si publice si pentma ce este recomandatd utlizarea feetrel metode. Capitolul 10, ,Rejlevituale pxivate (VPN) si euneluni",continud pe acceayi tem si arth cum pot f uilizate tehnicile de criptare peneru crearea de conesiuni sigute cu tancled Psintr-o rejea publics, aga cum este Internet Capitolul 11, ,Udiizarea programalui PGP (Pretty Good Privacy) pentru criptare, vi poate atita cum si instalai sisi potnii rapid programul PGP pentru nevoile promrll de10 INTRODUCERE INTRODUGERE 11 securitate, cum ar fi trimiterea de mesaje ctiptate de posti clectronicd semnate cu 0 semaiturk digitald. Tot sii sunt prezentate metodele de instalare pe sistemele UNIX si Windows NT. Capitolul 12, ,lasteumente pentru firewall-usi disponibile in Internet, vi oferi 0 privire de ansamblu asupra citorva dintre cele mai populare instrumente pe care putegi si le descarcati din Inteznet si, in majoritatea cazurilor, si le folosifi gratuit pentru a construi un firewall Capitolul 13, ,Utilizarea produsului TCP Wrappers", detaliazi si mai mult modul de instalare si configurare a unuia dinere aceste uulitare gratuite. TCP Wrappers poate fi utilizat pe gazdele UNIX pentru a vi ajuta si securizagi accesul Ia sistem si oferi funcyia de incegistrare in jurnal pentru serviciile importante si utile de reyea, cum ar fi Telnet si FTP. Capitolul 14, ,Folosirea serului de instrumente FWTK (TIS Firewall Toolkit) este un alt capitol care prezinti detaliat un produs pe care il putefi descirca gratuit din Internet. FWTK poate fi dificil de configueat dack nu sunteti deja familiarizat cu administrarea sistemelor UNIX, inst acest capitol poate reprezenta punctal de plecate in direcyia bund, deoarece prezinti concepte importante si vi arati cum funcyioneazi fisierele de configurare, Capitolul 15, ,SOCKS*, prezintd protocolal de securitate SOCKS, care este implementat pe scart larg in produse comerciale, cum ar fi Internet Explorer, sin plus, este disponibil in bibliotecile care pot fi folosite pentra aplicail existente. fo capitalal 16, SQUID“, este prezentat un alt instrument disponibil gratuit din Internet. SQUID este un server intermediar numai pentru cache care poate fi folosit pentru a furniza controlul aecesului, dar si penteu a vi ajata si gestionay lasgimea de banda a reselei memorand copii ale obiectelor Web accesate frecvent intr-o memorie ‘cache locala. Capitclul 17, ,Utlizarea programelor jjfvad si jpcains sub Linus, diseuti despre capabiliigle de filtrare a pachetelor, incorporate in nucleulsistemului Linux, si modul in cate cele doui utilitare pot fi folosite pentru a administra aceste functi Capitolul 18, , Microsoft Proxy Server", discuth modul de instalare a acestai produs Arewall Microsoft, $i aic vei mis o scarta introducere refetitoare la modul de configurare a servicillor cu ajutorul interfefei grafice cu utilizatoral propsii serverului. fa cepitelul 19, ,.Firewall-ul Elron CommandView', este prezentat un alt produs comer- cial, de data aceasta pentru sistemul Windows NT Server. Sunt analizate modul de instalare gi probleme legate de configurarea de baz, Capitolul 20, ,Dispocitive firewall", analizeazi o piafi nowi pentru firewalls, aflati in plint dezvoltare cire incearck si fie cat mai aproape posibil de tehnologia plug-and-play, sperind si faci procesul de configurare a unui firewall o activitate uyoati pentru vutiizatonul final. in capitolul 21, ,Firewall-us si mai mule decit ati veti analiza citeva posibilitit’ pentru noi dezvoltiri in domenial securitii in Internet, cam ar noua generatie a protocolului IP, IPv6. De asemenca, veti gisi aici o discutie referitoare nu numai la protejarea retlei ‘otganizatiel dumneavoastr, ci gi la protejatea calculstoatelor de Ia domiciliu utiizate pentru accesarea refelei fn ancxa A, ,Porcuri uzuale TCP si UDP*, ves gis o scurthdiscuse despre porturile TCP 1 UDP, imprecn cu olisth de portusi general cunoscute si destiaaile acestora Anexa B, Alte instrumente de securtate pe care le putefifolosi, confine o colectie de instrumente de securitae pe care le vet gisi utile pentru & face calculatoarle din rejeaua rie. Aici este 0 adevarati jungla! Internetal este o lume fascinantl, fast au este un loc foarte prietenos. in timp, pe misuri ce sunt dezvoltate standarde si cehnologii noi, aceste lucruri s-ar putea si se schimbe. fnsi, a fel ca in toate situa in care sunt explorate domenii noi, vor aptrea inevitabil probleme cu tehnologia i cu oamenii in timp ce Internetal continu si creased int-un sitm rapid, Deoarece nu tofi oamenil pe care ii vet isi in Internet vor avea intengi bune, trebuie s fineyi cont de elementele de securitate dup’ ce conectaf ejeaua proptic la Internet. Veri gi > Pentru detalii nferitoare la diferiteletpuri de ameninfai care ax provecat recent problece i Interne, veg capital 3, , Securitate gi Internet's pagina 58. Problemele pe care probabil le-afi intlnit deja, cum ar f virusii de caleulatoare, vor fi combinate dupi ce vi conectati ls Internet. Acum, in oe si vi ingrijoreze un virus activat de pe o discheti, trebuie si vi temeti de fisirele atagate Ia posta electronica si de programele demonstrative si shareware descireate din Internet. fn loc sh vi intereseze sh ‘impiedicayi angsjai si uilizezesistemul de postl electronict al companiel pentru a hiryui tun alt angajat, trcbuic si vi intereseze daci utilizeaz8 in acclasi scop posta electronic’, ce ‘poate ajunge practic oriunde in lume. Daci afi avut pind acum probleme cu stocarea pe statile de lucra s pe serverele companiei a unor materiale nedorite, cum ar fi figiere text cu glume, articole pornografice sau alte materiale similare, asteptayi st vedeti ce se intimpli ind vi conectafi la Inteznet!16 PARTEAI Séinfelegem frewal-urle gl secuntataan Internet Utilizarea politicii de securitate a sitului ; dumneavoastra pentru proiectarea firewall-ului a tagi o strategie de firewall, ar trebui si v8 ayezafi si si vi gi Simulcast ne neni et itate a companiei respective, Putefi si folosigi aceasta politicd penteu a cep referitoare la tipurile de servicii chrora le veti permite trecerea prin firewall. Vedi si ; despre polite de securitate (act fi gsi mai multe informai despre moduli care a treba labora o polite. (te ” En aa) apd Poi te mapa fa eh pre eee é te fi wiliglt mite de proocoale eat mai multe formas despre servile de bad pentr care poate full , TCPIIR nepal 3 epee ‘in sta de protcoale TCP/IP tome 26), —_ analiza aces isi potenfialele lor capeane, pute si decidey care dintre ele Su ccc dil Sumnenonsld ie Amenintari noi impotriva securitatii care trebuie luate ‘in considerare ; : Atunei clad vi conectafi la Internet, desc © intreagi lume now cu probleme de Site batts ST Wy eee RE Spi ampee cine Denes STS eee acum trebuie si vi Ingrijoreze fiecare potential hacker = Jomel . smcal wna neces Sate reece ten ara Se i Spor en i rn special. lnsi, in realitate, aceasta nu este o profesie chiar atit de a ae = ‘prezinti exemple despre modul in care un hacker poste si foloseasci satan sie ite by Breaking Inco I" (asta a oxigina, Improving the Security of Your Site by Breaking Into Ie (trad) CAPITOLUL 1 Elemente de bazd despre frewall-uri 17 sendmail, care au fost exploatate in trecut. Cu toate ef uncle eburusi cevidengiate in acest Friel au fost mzolvate prin utlizarea de peice si programe actualzate clase og vei face o idee refestoare la ipusle de hictur care por fealzate fila cave deammeovonees oh Wak fi ptadienisiodatd. Cele mal mule dite sstemele de operate impostane winner Brezent au fost dezvoltate si folosteinigal pe calculatoare independenve eau in -efele mici. Funcpile de reea au fost adiugate si mbunkeigite in decucsul anlor, der ac ales dapoage demas care ow au fos proieetite pentru medial interconectat pos Ie dispozitie de Internet in zilele noastre. Unde pute! gs artootr? Jett sots de Famer Venera .Inrvrg te Secrlyof Your Se by Braking hi ee. spon pert Gasiene & pe mute shut Seto dn tere Dack laa runle salon x tose Care ee ea rues oc undo proba put goal Ete ecomandacaicoreace care urea irt-un domeniy care are egturt cu souratea rele cased aeet oho Hottirati ce servicii veti oferi utilizatorilor dumneavoustrii Pe unde at tcbul sf incspei stunt chad se pune problema cre nel pole une de Sgeusltste pentru res? In primo rind, decides ce tipui de serviell va tesa oa ponefi la Ssporite utlzatonlor dumneavoastl Simpl fapt cd stabil © concsivne nine aereaasteais pel anumite necesiig din partea unui grap de cen. Care eee nece occa nose comPonenti a companie! dumneavoasts va benefeia de pe uma sesslvast Celato de tie? Care sunt riscurile pe care le presupune incerrarea de atan utlizatotilor ceea ce dorese? Tera dntse metvele obignuite pentru care © companie ar dos! sk se eonccteze la Internet sunt usmitoarele: 5 Fosta electronic ~ Pentru a permite angijayor si inte in contact eu fumizori vi cliengi. ST Accesul de Ia distangi— Penta a permite angsjaglor fata deplasae si ibd acces resursele reelei LAN locale. 1 Cereetarea Ponti a ufeechipetehnice cepabiltatea dea intra nett cu colegit de le alte compan si insiagi, ¥ Asistenja telnict pentea cliengi~ Pentru a permite lenior st cevadd documen: fate Produscoe salve documente in scopul reducer inclcinl echiper eee props. 4 Prezenja pe piast ~ Pentr a realiza afsceti prin comer electronic si a permite Companiei si isi prezinte produsele prin Intemet {ns funefe de motive cae sunt valbitetn ctl dumnesvoast otf18 PARTEAI Sé nfelogam fiewal-urile gi secuitatea In Internet FTP - Protocolul FTP (File Transfer Protocol) poate fi utilizat de echipa dumnea- voastri de cercetare pentru a schimba fisiere de date cu alte situ. Un sit cw acer FTP ‘anonim ac putea fi folosit pentru a permite clienjlor dumneavoastrd si alba acces la {siere si documenta. W Telnet ~ Uslizarea scestui serviciu pentru a stabili o sesiune prin conectare de la istangh ar putea fi utili daci echipa dumneavoastri de asistengi tehnict pentru servicii client trebuie i se conccteze pe calculatoralclientului pentru a dignostica o problemi. Putefi folosi Telnet pentru a verifica sejeaua de acasi atunci cind vA aflaj lao conferingt sau intr-un sit la distangh World Wide Web (WWW) - Un server WWW poate oferi companici dummneavoasted fo prezenti de piagl in Internet, Putegi si pines cliengi la curent cu produscle sau servicile noi prin utilizarea unui sit Web. Fotosind un astfel de st, pot i prezentace cu usuringl documentatii si servicii de asistengi tebnic& online. Posta clectronica (e-mail) — Usilizind protocolal SMTP (Simple Mail Tzansport Protocol), posta electronic’ poate filiveati de pe calculaorul dumneavoastri de birow aproape oriunde in lume. Posta clectronick poate fi o metoda foarte bund de ‘comunicare rapida cu cliengi si angejai, Dact lua in considerare costal unui serviciu de post actual, nu ar trebui si fie o surprizi dact in urmitotiiclyiva ani majoritatce firmelor vor incepe sf trimiti factuti prin posta electronics, pe misuri ce tot mai mull clieng vor fi conectag Ver! gi D> Wega ols mai mare de revi fn eaptolid 2, , Introducer in sta de protcoale TCP/IP la pagina 26. Aceste servic de bazti nu sunt olistk complet cu serviciile disponibile in Internet. Ele au fost amintte aici pentru ca dumneavoastri si pute incepe si vi gindifi la modul in care dovigi st utilizagrefeaua Internet. Cand vei aveno listh de servici care credei ci vor aduce benelici companici, trebuie sf anaizas fecare serviiu in pate sisi rispunde la citeva fntrebisi, Existio forma relaiv siguet de aplicaye client sau server necesarl pentru acest serviciu? Modul in care dog si utlizag serviciul deschide o posibili bres de secusitae in rejeaua LAN proprie? Vez! gi > Deoarce majoritaten rervicilorbazate pe protocoalle TCP si UDP wiligars munmeredifrite de portanipentrn ssn prop, atu end vd gdndi a tipurile de sev pe care dori i ke fe ‘iligatorilor dumneavoastr, concultep gi Hta de portur general cunosce din Anexa A, »Portunh sale TCP gi UDP"; la pagina 317. De exemplu, politica dumneavoastek de securitate ar putea stabili ca utilizatotlor si li se permiti si stabileascd sesivai Telnet la distanyS, care s& treac prin firewall, nsi aceeagi politcd ar putea stabil si nu fie permis in aici o situate o sesiune Telnet iniiath de la istangi. Aceasta permite utilizatorilor dumneavoastri si stableascd o sesiune la distangt pe sistema! unui client, inst celor dia afari nu le este permis acest Tucra in refeaua dumneavoastrd, Putegi sk creati politici similar si pent alte servicil importante de reyea, cum ar fi FTP si SMTP, in functie de cerinfele specifice. La fel cain cazul oricirui tip de politics, indiferent dact fine sau au de securitate, existi i except. CAPITOLUL1 Elemente de baz despre firevalhuri 19 eri gi > Peni mai malt informa decpe modulin care politica de scuritae of pote gta sd prota wn Frevall propria, vey capitolal 4, Politic: de secure i fra pari seep Politi de securitate pentru firenealgisraeg Politica de firewall Dupi ce revedsti ce probleme de secusitate sunt impli , usitate sunt implicate, putegis& dezvoltag o politics de Gewal, Exist dout metode fandamentale prin eae Grewal dizatpentra ae tale prin cae firewallul poate tiizat pentra a If Permit oxic aces, mal payin cele care au fost nteris In mod specif prin reg. nterzieyi orice aves, mai putin cele care au fost permise fa mod specific prin regal, A dova strategie a gis este cea pe care ar trebui si o uilizas De ce? Privind diner-ua punct valet logs, ee ma wor speten obs mde nade peas ev eae decito sti ma mare cu ceca ce nu vel permite, De asemenes, eoarece in mod frecvent eevoliate protocoale si serviii noi pe misurd ce reyaua Intemet continu! st crctscl, nu va inl adioga comin repul nol penn a cael potleacc see ee apres, Vet rimine protejat de dezvoltiile noi pin cind vefi avea timp sf reved clementele de securitate sisi decides dac8 este caztl ck permitey protocolul sau sesviehd seme de emi i 11 protocolul sau serviciul Vor! gi > Pets mai mie ara de rl, Pr roma a: pot ema, ete 6 abc i pf art de proc fans ncena aT Tehnologii firewall Exist doud metode de baat ui ss utilaate penteu a crea un firewall de reyea fitrarea pachetclor siserereerepezentant de plea, Unoe administrator plore st nc etn aL ob! consul aceven an suc dec simple vari ale clor deus merose n lc. iecare tehnici are propville avantaje si dezavantaje, atfel ci este important S¥inglegey co esactiate cum opeteaed pent ai prota ean Pee Primele firewall-uri: Filtrarea pachetelor Pron en ee Hae a Seal eno pee a Sears El coe Beemer ce nam Petia ers nate ae Sse ae sf eres ce20 PARTEA Séinfelegem frewall-utle gi securtatea tn Internet Vea i / Pentru a focifa mai mute spre frewallarile care flee fllrana pacelelor vei cpio 5, »Filtrarea pacheielor's la pagina 95. Utilizarea portilor de aplicatie Dac un ru de pachet nu pose lua deca det pe bat infosmailor pe care gisete fn antetul pachetului, pentru a crea un firewall mai compiex p reprezentant de aplicagi. Veaisi / > Pentru mai multe informagii despre severe mprezentant yi porfide aphicafit,veg capitol 7, Porfi de pla pre iatrmdiar’ apie 132. ne hpi apenas mn rene ee elie) cee tecbantaof tare cae rlesa pe Srewal pena ainvceopia ated copene | Cran nami pd pepe Sofa epee teen eve vue ‘edn enn eh eee sap cern praia duress o Conese severe ve plnyensfiseel LAN aceon Uso nen mo Celica rcodsto coetne dec I el exes. Progaml repress eae comport sun intsmedas den ch len seve schimbind hte acess informal ule apliayel.Avantajl in sat he ee cp rama peel sau nteced tac pe bazainformajior seers pecan ob npuchcnul nu mum pe bar iaformajior dinate. Aces {nseumal ck seprezentantul de aplieate intelege metodele fundamental de comune ualizate de un anumit servic i poate fi progamat pent permit su antersiee foncfi ae seniciul, nu done st blocheve comanicafia pe baza portlu, aja cum proce fu de pachete Alte componente de firewall | tl de pacts repeenentntl de spllcage sunt meds de bat wells pent | ctea un firewall. Modul in care sunt configurate si dspozitivele intrebuingate re Sitios Complex. Gadel basin, gud de sari zona demitarizat (DMZ, | suo deed sone son ome pe cH ef te In od vent lad iscutl despre firewall-uri. Mai tirziu in accasta carte, vefi anal Becare dn sec cola inct pre Sede een ee pote arin eras damaeavoastr’. | Veal st | > Sige care wage baton st data ma atl pita Pate ck sect pen irl strat depot a emallarior’, le pagina 73. a > 0 clip ai deta despre atilgarea uni gazee bastion poate f git in cepitol 6, Ulizaea nei gad baton’, la pagina 112. CAPITOLUL 4 Elemente de bazi despre frewalluri 24 Firewall-uri hardware sau software? Construite sau achizitionate? La inceput, firewalls erau formate fn principal dina-un rater care eta configntat ea un fitra de pachete (acceptind sau refuzind pachetele pe baza informatilor din ante.) io baz de i strarorul de néjen, Pe miu ce frewall-uile au cAgtigar mai multe faneFonalicf cde mai noi au fost implementate ca programe software care rlau pe sai de toons spe Servere. Fiewall-utile si mai noi sunt create sub forma unor configura handwaze si software ambalte impreunk. Aceste cui hardware noi, denumite uneoddipoyti fraal! Gicoal appliances, por f formate din aplcagi softwace pariculare instalate pe un sistern de Sperare standard, cum as i UNIX, dupa ce a fost redus la minimal necesas. Uni productod &f peclereai chiar propel ssteme de operat, stind ed hacked vor cuoasteamfnunyit slubieiunile unui sistem de operare comercial, Vez! st > Pa aust ma mde ire male din doce fica ee isa pe pag eta yi Portes ealaresproduacor concrete, et epic 20, , Diggs fraall, le pagina 299. Ce tp de Siewall x tecbui si uaa pentru a vi protea rejeaua de calculatoare? La fel cain ural ovicire deci de achiige, ar ebui alfa oalegerebazatipeeerngle de secustate ale SSG Gumncavocsel si pe crates ofeate de Srewall Desig, ar uebui a analiza ack bogetl vi permite aching frewal-uti (i ineyinerea acest), Sar putea ca ceringele formulate de dumpeavoasti pent un fcewall si vi permit sh obtney fondu! splimentare de la cc din conducerea organiza dup cei convingey de importanya acestia Dack dispunes deo echipi de asistens tehnick pentra rege cu inal ealificare, sar putea sie suridt decade a crea un Szewal propria, utlizind ruerele gi caleulatoarele pacts de cate dispuney. Dick suntefiint-o firm mick ce tocmai se eonectesed la Internet gi ou vel expert propri este recomandat si apelay le un produecitor care vi poate fusniva bardware-ul si/san software-ul si care poate sf asigure ucriile de instalae gi asistengi tchnici necesare. Gardare sau sofevare? Constrait sau achitigionat? Pe mAsul ce vefi cit restl eaptolelor din cart si veg tacepe sh Ingelegesi modul in care faneyioneaz’ difertele produse Grewal, Mi vey da scama ef suncey intro poritie mai bun’ pentru a pune inteebari sia lua deeieil ‘nteligente. Asigurag-vi cl implica in procesul de luare a deciiei utilizatori sau disectori ais care au eunogtinge despre opera ilnce care se desflgonri in zefea. Personal fini ax putea cunoaste protocoalele sau aplicatilecare pot provoeaaparigs unot excep ii in politica dumnewvoastl de firewall Prin adunarea de la incepat a°cit mai male informasii, vex ajunge si construif un firewall mai bun, Elemente privitoare la sistemul de operare Un firewall nu trebuie sf ruleze pe acelas dip de sistem pe care fl ut TeatioP fet pe servere, De exemplu, este posibil st avey instalat tn ‘ejen sstemul ‘Windows NT ca sitem desktop standard pentru uiliztod, tot Windows NT pentea22. PARTEAI Si nfelogem firewal-urle s securitatea in Internet serverele de rejea, Accasta inseamni cl va trebui si utiliza tot Windows NT pe firewall daca dori si folosig seprezentanti de aplicayie penteu a permite clientilor dumneavoastri si acceseze servci din lternet? Nu neapirat. [Ar rebut alegeyi un frewall pe baza caractersticilor pe cae le oferd penteu a impune respectazeacesingtor din politica de secusitae a tefl dumneavoastr. : Este important inca dumnesvoase st aveyoyclegere detain a mod in ate funefioneask fcewall-ul gi sX gti cum si il configurayi corect. pacar biel cf va trebui si fy familiarizat en sisternul de operarefolosit de firewall. Daci au ingegeg stemol de operate, mecaniomele sale de seus inxtumentcle tate entra impunerea securitéqi, nu puteti fi sigur niciodati ef firewall-ul nu ¢: Tomptomis de cneva cae explonenelo lbicone (au earicterse) a respecval sistem de operate ; ,¢ exempla, software-ul firewall de eare dispuneyi sar putea si ruleze foarte bine pe un a a eel Be ed See 4 total ene in regulk fonegoneset aya cum eebuie Ine deomece ms nfl protec iereor UNIX, nu af sere’ ek un angajat nemalpumit feu ex Ser de Patol post eit de tort mea, De asemency nu af obserat ol angst, ca Strora font concdiy fst crab ace eval dimnesvoa in trex 2 flcut modificsi semnificaive in configuragiaacestuia, : : care avep incredere deplina dee ne igeleges complet modul in cate funcfioneazi? fn final, ‘na agi putea f sigur cu adevirat ef acesta lucreazi aga cum ar trebui, Ver! si gigi um studi dtaliatprivtr la problema de scaitate dn sstemale de operare UNIX, » es koe NT cll Loni te vitor adie itor pera Ia pagina 148. Scarpa sv team sa steele Windows VT, UND au sau car un al Sopra fa dee o pecent noc cae cc notre fn lc all ee eas oer e cea 2 fila nts media ex ave sida de seca, Inst ac vel din ok suds ‘efi descoperi ci toate sistemele de operare au propriile puncte slabe, Noile versiuni de Windows NT vor contine in mod sigur probleme care vor trebui rezolvate de producitor. Nici noile versiuni de UNIX si Linux nu vor fi perfecte. Cu eit este folosit pe sear mai largi un sistem de operare, eu atit vor fi mai expuse punctele slabe. Important est inst fapat 8 in sptleprodesull se gseye un fuminosreaponsai cae poate #k monltorizere descopeiten accor pur de probleme 9 se remedies pes Dac sunteti sigur ef stiptnigi bine sistemal de operare utilzat de soluyia de firewall pe Care f aleso, chiar comer ch ete aca sem de oper lize pecleulton rele desktop sau pe scrvercle din restul refelei. In numeroase cazusi intilnite in presen, refelele nu nai sunt omogene, ci seprezintl un conglomerat de mai multe tipari de sisteme de caleulatoate si de protocoale de regea | CAPITOLUL 1 Elemente de bazé despre frewalluri 23 Ce poate face un firewall Un firewall nu poste face chiar orice pentru a vi proteja refeaua de calculatoase si no ar trebui considerat 0 soluge unici pentru toate problemele dumneavoastri de securitate Este important st ngelegeyi modu in care un firewall vi protejeazt in realitate rejeaua. De asemenca, este ls fel de important $f Inyelegeyi de ee ameningisi nu vi poate apira un firewall. in general, avantajele pe cae le putey astepta de la un firewall bine constcuit sunt curmitoarele Mi Vi protejeazt impotriva protocoalelor i servicilor nesigure. M Protcjeazd informatile despre utilizaton, sisteme, adrese de refea si aplicaile care raleszi in rejeaua damneavoustri de persoanele eutioase din afararejelet Pune ladispositie evidenye de auditare (prin fisierejummal) care conjin date statistice si de securitate ce pot fi utlizate pentru a vi asigura cf rejeaua dumneavoastrd este sigur si opereaai efisient. De asemenca, un firewall bua vi permite sh configurati avertzari astfelincit si ff atengionat despre evenimentele semnificative, cum ar fio tentaiva de pltrundere format in reyea, Pune la dispositc o gestiune centralizati a securtigireelei fagi de lumen exteriont®. Pentre reyeava duroneavoast,frewall-ul este poarta cite Internet {nto tejea mate, Svar putea sf aveti mai multe conexiuni citre reelele din exterior gi, ca urmare, ‘multe irewall-usi. Inte-un astfel de ca, ar trebui si vi asigurad cd ai analizat cu atentie produscle concurente. Numeronse produse mai noi vi permit sf administrati mal multe instaliri de ficewall-uti de la aceeagi consoli de comanda. (Ce este translatere adreselor de rjea? Olt caracerisi# o unr tipurdeirewalLui, ce devin foarte ulé pe maura ce domes de adrese Internat se epuizsazs, este transferee aotesslo ds refs (network adress translation, sau NAT). Tehncoga NAT oferd@ ‘sere de avantaje de securtato pin ascundarea adraselreale de rejea a unl calculator gazd atunci cir acel aloultr face cere cfire servre din Inte. Un frenall ce ulzeazt NAT realzaazé aceasiéfuncje pin utlzarea propieladese doef iniocul adrese cleus atunc cénd ite cere ctr severe din Inert. Atune cand soseseréspunsurle la oer in componerta NAT, frowal-u pleseazh adesa real a client in pach si ‘ite repunca! mai depart a cent. Prin uiiavee(uncjl NAT, a WeDU 88 Gera excent fp C2 nu aveh nevole deci deo sing atrest pentua vi conectarefeaua LAN propel nem. Impotriva caror pericole nu va poate apara un firewall Un Grewall au vi poate apira de ameningirile din inteoral sfelei. Astfel, dack aves! un usllizator cate este hotirst si provoace dezozdine in reyeaua dumneavoastri, trebuie si VA protejati prin folosirea secusitigi de la nivelul caleulatoarelor gazdi. Un clement foarte important pe care trebuie si il lagi in seamd atunci c&nd utiliza un firewall este c& acesta ou poate avea grit prin nici un fel de vrijtorie de toate problemele de secuitate care pot exista 4n rejeaua dumneavoastei, Un firewall nn ilociete mcurile eile de scurtate gi de gestonare a sistemulei. Un Grewall nu este decit un alt nivel de securtitate. Indiferene cit de sigue afi putea crede ci este firewall-ul dumneavoastsl, nu trebuie si slie Digi securitatea de It nivelul calculatoarelor gazdi. De fap, chiar este adevisat contzariul.24 PARTEAI $3 injologem frwatlurie gi seourttatea I Internat ‘Atanei end vi conectaila Internet, indiferentcit de sigur arf frewall-ul dumneavoastr, ar tebui si ffi mai vgilent in monitosizarea mecanismelor de securtate ale stalor de Ice gi ale serverelor din regeaua LAN propzie astel inci sk vi putegiasigura ck nu apar bese de securtae 4auze pericolele de care au vi poate proteja un firewall se numirk uzmitoarce: Wt Virusii — Cu toate ef anumite produse firewall oferkasistengt tehniek pentru dewee- tarea vtusilor in eaficul care stibatefiewall-u, sunt prea multe metode prin care un hacker inteligent poate si impacheteze un software virus. Chiar dack fizewall-ul pretinde ci efecrneazi o seanase pentra viusi, nu dezactivagi software-l de detectare a Virusilor care ruleazi pe caleulatoareleindividuale din reyeaua dumneavoasteil, 1M Caii troieni — Similar cu amenincarea viusilos, este difcl st impiedicai programele de tip cal toian ok pitrunds into rejea. Este ujor de picilt un utlizator side al face sk dlescarce un program sau sk deschid§ un figir aagat Ia un mesaj de post electroaicd, psin care si Se permiti rularea unui eod riuficitor pe sstemul focal. Social engineering — Acest termen a devenit cunoseut in ulti cisiva ani i deserie metodele pe care hacketi le folosesc pentru a obfine informagii de la uilizatoxi »prictenosi Sar putea sk fi sueprins si aflai cite persoane ip dezviluie parola atunci iad cineva le telefoneazi si se zecomand a fi un ofiger de securtate cave ,eifcS™ ceva. Un firewall au poate sf opreascl un angajat slobod la gus. increruperile fizice - Un firewall au vi poste apira in cazul unel fateerupeti ta alimenearea cu curent sau-al nei intrerupesi int-un eablu de rejea sau telefonic. Precausile impotsiva acest tip de eveniment a trebui si constituie subieeral unui plan de recuperare a rejelei in caz de dezastra. ™ Incompetenga ~ Angajati slab pregitig sau un si negljent de conducere pot conduce la probleme de configurate, atit in rejeaua LAN local, c&t siin firewall. Dact angajayi au ingeleg modul in cate funeyooneazl un firewall si modul cozect de configuraze a acesnlia Ve avea probleme, Atacurile din interior ~ Un firewall nu poate opsio persoant care se giseyte deja in reyerua dumneavoastel sf vi fack probleme. Este unul din motivele penteu care securitatea calculatoazelor guzdi slimine important si dup ce afi instalat un fxewall intretinerea unui firewall Un firewall na este un produs pe care doar il eumplraj il configura i apo! utagi de ol Datoriti fapralui ck natura ameningsilor potentiale case vi pot invada refeaua se schimbi constant pe misuri ce Internetul se mireste §§ sunt dezvoltate noi serviil si aplicagi, tcbuie si figivigilent. Indiferent dact vrei sk construifi un firewall pornind de Ia zero, dack il realizati din componente cumpirate de la diferii producitori sau decidesi si achizigionat un sistem firewall complet de la un singur furnizor, sunt citeva lucrusi le care ar trebui st vi pindig. Aceste elemente au legiturl cu utlizarea $i intrefinerea firewall-ului in timp. Iath citeva dintre ele: Mi Documentagia ~ Este necesasi o documentatie bunt duck vreti sf vi familiasizagi cu modul in cate funcjjoneazi componentele firewall-ului. in timpul eforturlor de depanare, un set bun de documentatie este o necesiate absolut. CAPITOLUL 1 Elemente de baz despre frewall-uri 25 Hi Un serviciu bun de asistenga tehnica pentru client — Dact achiztionafi un produs de tip firewall de la un furnizor, au witsyi sh H punesi eiteva intreblsi despre trecutul companiei si politcie de asistengé tehnic& pentra cliengi, Indiferent e&t de bund este documentagia, este sigur ci intr-o zi va aplirea o intrebare sau o problemi la care veti avea nevoie de ajutos. Aflati daci asistenga tchnick este disponibilé online sau prin telefon, cite ore pe zi si, ceea ce este si mai important, cit costa. 1 Interfata cu utilizatorul simpla gi intuitiva ~ Daci produsul este dificil de gestionat, vva fi supus la greseli de administrare. © bunt interfasi grafich cu utlizatoral sau o intesfayl in linie de comand bine construitk pot ugura sarcinile de gestionare zilnice 1M Actualizatile software-ului - Oferi furnizorul actuaizisi ale produsului la intervale regulate? Care 2ste costul? Sunt disponibile actualzivle pe misur ce sunt descoperite zi erori de programare in sistemele de operare sau in aplicagi? Instruirea ~ Ofert furnizorulinstrure pentru produs? Este disponibild in compania dumneavoaste sau este necesari deplasarea? Este posibill instruiea online sau bazac pe calculator? $i, din nou, eat costi? tice aplicayie software sau componenti hardware de caleulator pe caze o achiztionasi trebuie si fie insogied de un serviciu bun de asistengs tebnic& daci va fi utilizath nte-un mediu de afaceri. Acasi ati putea si tefl o siptimant, cit timp caleulatoral se giseste la ‘magazin. La birou, 0 refea sau un calculator dezafectat poste disponibiliza temporar mai multe persoane si poate aduce prejudici financiace compsnici respective. Din aceasti perspectivi, un fewall nu se deosebeste cu nimie de alte aplicafieritice pentru afaceri. Deck acordati chiar dumneavoastrassteny tehnick pentra firewall, asiguray-v8 ch echipa de care dispunet are abilitile tchnice necesére pentay gestionazea si actuaizarea firewall. Dact achitigionagi un produs de la un furniagrpaigurss-ori-ck yeticmpne de asistensh tehnicd atunel cid veti avea nevoie. ret Bes 23 Rezumat t Un firewall este © necesitate dack dorigi sk conectati egeata LAN proprie la Internet. Firewal-urile pot analiza traficul care intr si iese din refeana dumneavoastrd LAN $i ia Aecizii in peiving tipusilor de trafic pe care le permit sau le interac. Tehnicile de genul fltrarea pacheteoc fau decil| pe bata informapilor cee glsese fa antetul pachetull de zefea, cam ar fi adiesa pachetului seu protocol de ropes utllzat. Reprezentanfi de aplicaie actioneazi ca internediari gi interacfioneazi cu serverele din Internet astfel incit cliengi din sefeaua LAN intern si nu fic expusi comunicisi direct si, astfl, unui potential abwz. Pentru a decide ce tip de firewall veticonstrui sau veyi curnpira, inigal rebuie sf analizati politicile de securiate curente si si evaluati servicile pe care utlizatoci se asteapti sk le primeasea dupi ccnectarea la Internet. Utilizind politica de securitate, putefi si proiectat, © strategie de firewall folosind rutere, gazde bastion si alte tehnici in scopul protejisii refelei propri. {tn capitotal ummitor, vet analiza suita de protocosle TCP/IP gi ate protocoale care au legitard cu acestea si care sunt utilizate pentru a ofexi servieli de rejea in Internet. Dupi ce ‘eH ingelege aceast tehnologie, ver tece la capitol 3, care analizenz& c&teva probleme si capeane de secure asociate nel conexiuni la InternetCopitolul 2 Introducere in suita de protecoale TCP/IP Ce este TCP/IP? ‘*Modelul de retea OS + Protocoalele TCP/IP * Adresarea IP ‘© Analiza continutului unel datagrame IP ‘Ce sunt porturile TCP si UDP? + Servicii TCP/P uzuale Alte servicii de retea Ce este TCP/IP2....; TCP/IP este presesitiees deh ViaiRiskion Control Prococol/Internet Protocol. Acestea sunt principalele peotoegat de fefeh e6ipate in Internet pentea tansferal datelor dinten Inge altal Pe lange GebeSid i importante, tai existd male alte protocoale gi ‘Ribeace cave aa lepttaeh cule gt care de obicei sunt gropate Impreund yi sunt denumite TCP/IP Protocol Sue Suita de protocoale TCP/IP). Aceast sith de protocoale include sendite cuny ar & protocolul de rezolvare a adresclor (Address Resolutvn Protocol ‘ARP) si protocol pentra datagramele uilizatoslor (Uset Datagram Protocol, sau UDP) Delisco fall «or putea si nu fecunoascl aces termeni, inst au auzit probabil de ‘Telnet gi de protocolal de transfer al fgeceloe (FTP, sau File Transfer Protoco). Una dinte nevi pe care trebuie si le efecruns atone cind configura wn Brewal este Thea decisei in cea ce priveste protocoalele gi servcile care ar trebui permise pentru cullzare Inte refeana dumneavonstl i Internet, Unele sunt in mod inerent mal pevicu- lease decit altel gi tebuie si Ge analizateastel tacit st pute! ingelegesacol asociat cu folosies lor, Nowa regula de aura unl cewalt Ineraice toma i apoi permitey doar cosa ce ave nevele ‘ive do protocol sul de protocoale crs saa dpe pretacoae, men sd do protocol sit deprtocoaesut ta sao ou aoa sare secte aco erm sura les porno pu do ce, a esteuizat sng proecol pene GAPITOLUL 2 Introducer tn suita de protocoale TCP/IP 27 comune, ol exist mal mute protocole afta in logdtur. Ast, cand iscutatldespre comunica Tn rime, (ecu despre suta feu sia) de proigoale TCPAP deoarce protcoall utzate nie cae 9 numara TCP, I, UDP, AAP gl SMTP, excout une ete, dar au fost proicite s ueeze mgr. De exompl, at TCP ot UDP flosse IP pet tuncile de ackesare sper tansfend dato nm. Protacalu [Prposte elecucaesngur aeast ac vial lost protocol ICMP pen tune de gesfonare epararea ‘para Nal osinsva se potooae ve spied de ezoiareaadtesd (dross ResoutonPolco| sau ARP), are exe resporebl perv dlerinarea adeselhardvarereale a unui cals, aso ov ate IP. Modelul de retea OSI Daci af lucrat vicodaté ca programator, vi vey aminti de termeni cum ar fi yprogramare seructufat sau sprogramate de sus fa jos", precum si de mul af terment utiliza pentra f descrie metodele standard folosite pentra proicctarea si sctierea codului pentru 0 aplicatie, Repartiarea functilor specifice ale programului in componente modulare poate tgura modificarea si intretinerea programs, In 1984, oxganizaya internationalé de ‘Sandacdizare (Inteznational Standardization Organization, sau ISO) a dezvoltat un model dlestinat si ajute la standardizacea moduli in care erau implementace protocoalele de reyea astfel incit func specifce si poats 8 izolate in componente care pateau f intrefinute cu Uyurings. A rezukat modelul de rejea OSI (Open Systems Interconnection), Organizatia 180 a utlizat acest model pentra a dezvolta un set de protocoale de retea deschise, inst acestea nu au fost adoptate niciodatS pe sear lags. Oricum, modelul de retea OST este fined utlizat atunci ciad se discuti de protocoale de cerea si este recomandat s familiaizai cu el dack vet lucra in acest domenia. Figuza 21 prezintd, din panet de vedere conceptual, mockl in care se doreste s4 opereze modelul FIGURA 2.1 “pcaje x ——>| pliaie Nod teste format din gapie Prezantare [e———o| Prezentaro rater let are ome vecine. Transport f<———»} Transport Retea Je ———»}Retoa Legatura Legatura sedate [———>|_do date. situ tic kX > ea ee Fiecare srt (nite) din model ofer8 servic straturlor adiacente. Aceasta nseamna ci luxul real de informagi incepe de Ia stratul situat cel mai sus in ierathi, strata aplicafi, care apeleaza la serveiile ofetite de straral prezentace, care foloseste servicile fumnizate de stratul sesiune si aga mai depart, Cel mai jos in ierachie este situati componenta fizick a refelei. La acest nivel este definit modul in care sunt transmise datcle prin rejea ~ de la cablare pind In plicile de cegea sila conectoatele uilizate prin canalal fic. Cand ajang la un ale nod pe'stratal firic, datele incep si usce prin celelalte stratus software-ul de pe ficcare strat utlizeaza functi ale stratului superior pind cind, in final, informagile ajurg la straral aplicate, unde pot fin legiturd cu utlizatora28 PARTEA! Sainfelegem firewall-urile $i securitatea tn Internet ‘Acest este algal informailor pin mode. eivind dino perspec lage, Secae seat cin model eoiminicl ev suas corepondent dn nodal sata distant. De exemply, software de pe stamlapcage no ete ineresat cit de modul de eomunicare cu stat aplcaje din nodal stu a isan. Software srs penta acest lve nu abu ah Injlengi modal in cate sjng dal la strata spice covespondent del ela capt al conexuniz Nu contead dact dice cell pe cablud de Bia epdet sua pe conaiual {0BASE-T ~ ee! pus atund ind este impliat stata plage Inver, compenenl care luca a nivel ie nu sunt interesate da informatie wins su recopfonte sont exe LASCIT sus date codse bina. tral fie este prcoctpa sual de crea stata fie dn nodal sit la sang penra atime pea datle ade a stemal nora Stratul fizic La acest nivel este realizat procesul fizic de mutare a bigilor de date printrun mediu de rejea. Componentele refelei definite la acest nivel sunt: Cablasea Conectoarele Tehnicile de semnalizase (electeice si optice) Acest strat este probabil cel mai usor de clasificat. Este format din toate componentele fizice ale refelei care sunt implicate in timiterea si receptionarea biglor de informagi. Aici este deficit numfrul de pini ai uni conector; de asemenes, a acest nivel este definit modul de interpretare a unui semnal (de exemplu, codatea Manchester si Manchester diferentiali). ‘Cum putei si rtiney straturle din modelul de rejea OSI? Dact vi prog st usta untestd cerca gv day sama cave oprcblama curemeraeasraturor dette de ‘model de refea OS, uitzao meio! tesa in inp peniu memorarea une secverede owe cae nu auleget Ine ee. Uoarel raze rd sens sunt mut mal uso de rent dot numle satu, la Cac v pute amin na Clove acest raze, sunt ganse mars va ade aint de satu hordes cee, aun lind eustine} test ‘NI People Saem To Need Data Processing, Poaso Do Not Touch Steve's Pet Algae. Pease Do Not Throw Sausage Piaza Aay. Dupl cum put vedea prima tax poate f uz penta memera model de sus nos (atl epic atu razeniae, saul sesune gi aga mal depart), in mp ce urrStoerel dul pt este pentua memera stature 62s in sus (strat fi, svatullagtur do dat, satu refa gl aga mal depart), Mult suces la est! Stratul legéturd de date Funcyiile executate pe acest strat sunt destinate asigurisii de teansmisii sigure de date de la ‘un dispozitiv I altal in cadrul rejelei, cum ar fi verificarea de bazi a apatiiei erorilor in cadrele transmise la nivelul fizie. La acest nivel, big individual si unui mesojajung la stratl fic iar acest stat fi organizes in formatul de cadre corespunzitor, care poate fi ingeles de prorocoalele de pe nivelusile supetioase. Specificatile IEEE impart acest strat in dows substraturi: stratul de control al accesului la mediu (Media Access Control ~ MAC) 5 stratul de control al egiutilogice (Logical Link GAPITOLUL 2 Introducere tn suta de protocoale TCPIP 29, Conttol ~ LL.C).Desi nu fac parte din modelul OSI original, aceste substeaturijoacd un rol important in cele mai mule implementisi de reyele Ethernet. Substratal superior (LC) implementeaz4 punctele de acces la serviii Service Access Points ~ SAP), care pot ht teferite de alte dispozitive la timiterea de informa, iar substratul MAC este decicat ‘smite sl eeeepionfni de date ik eros inte nodule dia re(ea Stratul reter 7 Conexiunile dintre nodurile rejelet sant conirolate de acet srt, La acest nivel este stabil i trminacho conexiune logic de fees intre nodust Inte fail ete formen servile stat rejea se numark M Teandlatarea adresclorlogice gi fice HF Rotten gi comutaren Control Suvi si evitrea congestelsefele 1 Fragmentarea si resamblarea pachetelor efectunt pint cind se determin’ fatal e& y ¢ nd se determint faptl ck tn tater sau an ale dspocit’ prin eare tee datele iu poate mancita patted la dimensiunea sa caren) Acest strat este cel mai de jos din modelul de refering care nu are cunostintd despre aspectele fizice de bari ale rejelei, . ee Stratul transport ‘Acest model de stat este eel mai de jos din modell de refeigh care oferk servi uullztor seus superioare. Pe acest sat suneeferrste i fanelc de oot noe viciilor, cum ar fi: " 1 Transport datlor fist exoe, Datel aflae tn pachete mati sunt divzate penta face transmisia ma ficients Hl sunt eeaamblate pe acest stat upd ceajun se con sistem situa a dstant. Conginual pacheru depinde de prowocald eat te ele dout nodatl pent schimbul de date, BF Secvenieren in vedere grant liad pachetlo in ondneacoreet cue suatrle upericure 1 Confrmarea transfer sau recepionitipechetclor de dat, Controlul axa pentta protocol utliza, Stratul sesiune stabileased o resume comuni pentru tatatea schimbusilor de date. De exemplu, pe acest Strat protocolul N=tBIOS opereazi pentru a stabili sesiuni bazate pe nume. Pentru a controla o sesiune, software-ul de pe acest strat realizeazi un arbitra} intre cele do caleulatoare, comunicind fieckruia cind poate si transmit si pentru eft timp. Sesiunile lntee sofware-al de aplicagie sunt creat, intreinute i terminate pe acest nivel30 PARTEAI Sa njelegam frewall-urle gl securtatea in Internet Stratul prezentare Modul in care suatintexpretate si prezentate datele pentru aplicatie este determinat pe stratul prezentare al modelului. Informatie trebuic si fie aritate ulizatorilr astel tacit si poath fi lnjelese. Diferengele dintre noduri, cum ar f modul de reprezentare a datelor (de exempta, EBCDIC in comparatie cu ASCD) sunt tratate aici. Pe acest strat sunt executate compimarea datclor si conversile de protocol. De asemenea, si criptarca este efectuata tot pe acest strat: ‘Acest stat include si redirectorul, care ,direcjonexza operatile de intrare/iesire pentra resursele de reyea in cazul in eare acestea hu se gisesc pe calculator loca. Stratul aplicati ‘Aici sunt tratate comunicagile dintre aplicagile utlizatozilor. Faneyiile de pe acest strat suport aplicatile ulizator care folosee reysua. Service care permit unui program si bfind acces Ia 0 band de date cace se giseste pe un sorverreaizeazA aceasta spelind la funcgile de pe acest nivel. Alte servilt de spicy implementate Ia acest nivel sunt Scrvcile de director Servcile de postt clectronick WW Servicille de fire si imprimante & Sesiunile terminale (de exemplu, Telnet) WM Scrviciul de reclame © Interprocess Communications Cum se potriveste TCP/IP in modelul OSI? a toate ci model OSI et lat pe sat lg atu! cod we deat de problene eritoare la protocoale si servcli de sefea, poate fi dificil de aplicat strict la protocoalele si . p : Hy Poms ljervcle care formencd suit TCP/P FIGURA 22 Modell Mogetd Esc un mouv intemeat penta aeasth Compare tae oe FOP siiultate: dezvoltacea sulted TCP/IP a ‘modelele de rajea Atcaie inceput inainte de proiectarea mode- ToPAP g.081. Preartare Aolatie | Iului OSL Cu toate acestea, TCP/IP a fost proicctat pe baza unui model si Sesine ilar, care este numit uneosi modelul Transport Taepot | DARPA, sau DOD (Department of Defense’). Fete fatet | fn figura 22 pute vedes cole patra Tega yeneg | Stzaturlcare formeazi modelul TCP/ oe ate fareea | IP-DOD si modul in care pot fi rela- Strat ike sionate cu modelal OSL UDOD este echivalental Ministerului Apisii fn Saee Unite ale Americ (asrad) | CAPITOLUL 2 Introducere in sulta de protocoale TOPAP 34 Astfel, desi TCP/IP nu se potriveste exact cu modetul OSI, este posibil si facet retire la acest model atunci cind discutay! anumite aspecte ale protocoalelor si servicillor puse la dispozitie de TCP/IP. Protocoalele TCP/IP -Asa cum sa dscutat Ja inceputul acestui capitol, TCP/IP fage referire la o suit de protocoale si aplicagi, dintre care cele mai importante sunt protocolul de control al ‘ansmisiel (Transmission Control Protocol) si protocolul Intemet (Internet Protocol). ‘Vom analiza inigjal protocolu! Intemet, deoarece este utiliza de protocoalele TCP si UDP si reprezinta baza pentru mutarea reali a datelor prin reyea Protocolul IP (Internet Protocol) Protocol Intemet este a dous component a aronimalti TCP/IP, ins est primal protocol despre care discutim, Aceasta se datoreaah faptului c& IP este protocolul de bazi din suith utiizat pentra matarea pachetelor dintr-un loc in altul. IP pune la dispozitie un serviciu de ‘ejea fist conexinne sf fies conirmare. lath efteva caracteistic ale protocoluli IP: W Deoarece IP este firk conexiune, fiecare pachet este independent. IP analizeszt informagile de antet ale unui pachet gi foloseste aceste informagii pentra a timite pachetulcftre destinatia final, IP nu este interesat dacd pachetele sjung in ordinea in care au fost expediate 1 IPeste irk confirmare. IP nu ofer} nici un mecanism pentnt a determina daci un pachet mai ajunge a desinaie. Protocolul nu fae decat st wemittpachetalg presupune fe of aceasta va ajunge unde cbuie, fe c8 un at protocol va & responsabil pentra aceastl veriiare. IP nu ste interesat de calea pe care circu un pachet atunci cind traverseart Intemetul. Decizile de rutare sunt lisate de obice! in seama altor protocoale, Este foarte posbil ea pachete provenite de la acclasi calculator gazdi $i parcurgi rote diferve cite sceoasi destinatie. Deci, vi putefiintrcba cu ve se ueuplt de fapt prorocolul IP. IP preia datele de pe stratul gaadi-le-gaadi si le fragmenteazt in pachete eniumite datagram) de 0 dimensiune care poate i transferati prin refes. La destinate, IP reasambleazi aceste datagrame si le transfer {in sus in stiva dz protocoale. Pentru ca fiecare pachet si fie liviat, protocolul Internet plaseazi adzesele IP sursi si destinatic in antetul pachetului, De asemenea, efectueazi un ‘calcul al sumei de control a informafilor din antet pentru a se asigura de corectitudines Aacestor, insk nu efectueazi aceasti functe si pentru zona de date a pachetului, Cind discuragi despre o adrest de rejea din Internet, discutas de o adresi IP. Ulerior in acest capitol, voi explica functionaréa adresiii IP si de ce este atit de pottviti pentna Internet care este format din numeroase rece diferie. Ceinseamna incapsilare? ‘ToPAP ofr posite de Itroperare pen reseed calculatoarereazate cu tehnoiogi de bazk dere De xem, a puta ao rlea sl utzeze armatl de caru theme 802, nip ce aka uizesz8 FDO) Ficare Give aceta cate co rival sez are propane, spec, cre canna arma necesaretehrologiel32 PARTEAI Sé nfelegom frewall-uril i securtatea in internet ua fii, La. acetrvelsedzu cn sive de protocoale, datagram IP nt ‘nzona de date & cade, Cu ae cuvinte, cup ce protocol IP acaug’inormafile de aie ceeazA o datagram de éimensine corespunedtoae, rarslerd datagrama cltre salu aoces la reea, care inroduce datagrama IP ‘nvan cadu Efemat, de exempl. La desinale, iformafle de etet cn cacru Eternet sunt eliminate, iar datagram IP este antral pe nivel! super cn sv pen af preluratl de protocol P. Atul end configu un ver cu uncia de Mirare a pachetsl, informatie de ata IP sunt cee ulate pentru lua ecle n ea ce priveste transfer! eau resingerea pacheti. respective penta time cadre prin el Protocolul de control al transmisiei (TEP): ‘Acest protocol ulizeazk protocolul IP si pune la dispozise un servic fabil de conexiune fntre doui caleulatoare gazdi din Internet. {a timp ce protocolul IP trimite pur si simpla pachetele pe rutele lor, TCP oferk mecanismele care garanteaz4 ch pachetele sunt recepfionate intacte si ef pot fi plasate in ordinea corecté la calculatorul destinate Protocolul TCP pune la dispozigie sume de control pentra datele reale transmise. De ssemenea, TCP posed mecanisme care regularizeazi oxul de date pentru a evita problemele asociate cu congesta. TCP foloseste numere secvenfiale in antetal TCP pentru ca datagramele IP si poat fi easamblate in ordinea corecti la capitul destinafe al comunic Alte protocoale care au legatura cu TCP/IP ‘TCP si IP nu sunt singurele protocoale din aceasth suth. in timp ce combinasia TCP/IP fest un canal de comunicage de la un calculator la aleal in Internet, exist gi alte protocoale uilizate pentru a executa sarcini specifice. Protocolul UDP (User Datagram Protocol) User Datagzam Protocol (UDP) este similar cu TCP prin faptul ci foloseste protocolul IP pentru a muta pachetele prin zegea, UDP nu pune la dispozitie un mecanism de confirmare, asa cum procedeazi TCP, astfel ci poate fi considerat un serviciu fand concsiane, Pentrs aplicayile care au au nevoie de un serviciu de livrare garantat (fi de informatie suplimentare asociate acestuia) poate fi wilizat protocolul UDP. Un exemplu fn acest sens este serviciul de aume de domenii (Domain Name Service, sau DNS). DNS utilizeazi pachete UDP pentru a putea schimba eficient informatii cu alte calculatoare. Protocolul ARP (Address Resolution Protocol) ‘Natura funcyei de adresare IP usureazi rutarea datelor prin Intetnet. Atunci cind un pachet ste trimis citre 0 reyea difeiti de cea in care a fost generat, este transferat unui rater Rteru ia deciaii pe baza adresei IP sia informatilor pe care le posedi in tabelul de rutare pentru a trimite pachetal pe drumul cktre segmental de ree corect. Uneos,ruterul na are 0 conexiune directi cu refeaua destinate, astfl ci expediazi pacherul cite un alt ruter care poate si execute aceasti functie. Cénd pachetal se indreaptt in sfrsit citre segmentul de zejea corect, ruteral sau poartalocala trebuie si cunoasci adresa hardware (adresa MAC) a calculatorului destinafic, astfel ineit pachetul si fact ultimal pas din cilitorie, | | | | | | CAPITOLUL 2 Introducere‘n sulta de protocoale TCP/P 33 ‘Adresele IP sunt ulizate pentru a forma un spay ierarhic de adrese care ponte fi infeles de agenfii de ratare din Internet, astfel incat acestia si poaté determina modul in care si transmiti un pache: dinero rejea in alta. Cand disporitivele comunici dizect pe segmental de rejea local (pe sirmi, si spunem aga), adresa reali utilizata pentru conmunicarea intre dout dispozitive, indiferent daci acestea sunt caleulatoare, rutere sau orice altceva, este adresa intern de control al accesufui la mediu (Media Access Control, sau MAC). Protocolul de rezolvare a adreselor (Address Resolution Protocol, sau ARP) este folosit pentru 2 reliza eanslatarea (corespondenta) ince adresele IP si adzesele hardware. CAnd tun calculator vrea si trimitt un pachet cite un alt dspozitiv, rebuie sk stie adresa MAC 2 acestuia. Pentra a afla aceasth adres MAC, trimite un mesaj de difuzare pe care il poate vedea orice calculztor din segmentul local. Acest mesaj ARP congine adresa MAC 2 caleulztorului de oxigine, precum si adresa IP a calculatorului cu care vrea sh comunice acesta. Cind un calculator recunoaste propria adrest IP in acest pachet de difuzare, timite tre caleulatoral care a emis pachetul ARP un pachetin care include propria adres MAC. Din acest moment, fecare dintre cele dout calculatoare cunoaste adresa MAC a celuilalt gi comunicapile ultesioase se fac folosind aceste adzese, entra a preveni osnfalt de mesaje de difwzare care ar putea rezulta daci aceste operafi au Joe pentru fiecare pachet care tebuie livrat in segmentul local de rejea, Gecare garda pistreazi un timp fh memorie un tabel de adrese MAC. Atunci cind trebuie si comunice cu un alt calculator, acest tabel ARP este primul loc verifcat. Daci adresa destinagie nu este gisith In tabelul ARP, este vtilizatd metoda de difwzare ARP. Comanda arp, caress giseste atit in sistemul de operare UNIX, cit siin Windows NT, vi petmite si vizualizati tabelul ARP. De asemenea, poate fi folositi pentru a adiuge sau a sterge intrlsi din tel. Cu toate cd sintaxa varia’ fatre sisteme de operate diferite, in Imajoritateasistemelor sunt valabile usmatoarele forme: Warp -2 Afisezzi conginutul curent al tabelului ARP, arp -d adresasP Steege intearea pentru guada specificatd. Warp -s edresa_! adresa_ether Adaugt intiatea in tabel. De exemplu, pentru a adiuga o intrate, folosifi urmitoarea sintaxt: arp -8 192.113.121.868 08-00-20-34-c1-01 Numel de gaz, cum ese win. microsoft con, @ ads IP sun uz pen a smpicaconiguarea ‘estonara nel ele tan mod onal. Pcl mal mic nivel esi acres MAC hardvare lst de plc de Penta dstta ur cu cal, naga ce ar intent da ecaearrebuisdremarezeacresse arate (0 load nul Daatece cesa MAC ets pur sisimpluo see de numereimprmat”naderorl erejea mame fair ru are il lpr cu ca ela caleeoruld sau ea pod de ees. Ca umare, per a na mesa rea ros doar acest atese MAC coda n harcvare arf noesaca un utes memorezeun taba eer care ar conf adasele MAC ale ctor ceutoareo care ens inte. Desig, o sana impos Protocolul ICMP (Internet Control Message Protocol) Cu toate ci protocolal IP nu ofer mecanisme de confirmare penteu a permite calculato- rului care a trimis mesajul si afle daci datagrama a fost recepfionatd intacti la destinatie, pune la dispozitie o serie de mecanisme de raportare a erorilor, prin intermediul protocolului ICMP (Internet Control Message Protocol). Este o componenti neceserl a34 PARTEAI SSinfelegem firewallurile gl seburitate In Internet oricirei implemeatiri TCP/IP, iar funcyile pe cate le efeerueaz’ sunt foarte importante pentru rutere gi alte dispozitive de reyea eaze comunick prin TCP/IP. Ca si TCP 5i UDP, ICMP foloseste protocolul IP pentru a transmite proprille date prin refea Dact ai! utlizat vreodati comenzile PING si TRACEROUTE, inseamnni cX afi folosit protocolul ICMP. Fiecare pachet ICMP are un cmp care defineste tipul mesajului. Tipurle de mesaje folosite | de acest protocol sunt prezenat in tabell 2.1. In plus, lecare pachet ICMP congine sn cmp de cod, inebuinjat pentru detali suplimentrerefertoare la pal de mesa} ‘Tabelul 2.1 Tipu de mesaje CMP Tipde meso] Desciore Echo Reply (Rispuns de ecou) 3 Destination Unreachable (Destinafie inaccestbily 4 Souree Quench (Oprirea sursed) 5 Redirect Message (Redizecfionaren mesajului) 8 Echo Request (Cerere de ecou) it Time Exceeded Depiizea impuluy 2 Parameter Problem (Problemé legatl de parametra) B “Timestamp Request (Cerere de marek de dnp) 14 ‘Timestamp Reply (ispuns de marck de dnp) 15 Information Request (Cerere de informa) — nu mai este folosie in prezent 16 Taformation Reply (Raspuns de informagi) ~ nu mal este folosit in prezent 7 ‘Address Mask Request (Cerere de masck de adeeri) 18 “Adaess Mask Reply (Rispuns de mascl de adresi) Comanda PING foloseste mesajele de cerere si rispuns la ecou pentru a stabili dact existi o conexiuine fizict intre sisteme, O alti functie important in Intemet este controlul traficulul, Mesajul de oprire a sursei poate fi transmis pentru a comunica unei gazde sursi i guzda destinatie nu poate tine pasul cu viteza de transmitere a pachetelor. Calculatorul destinagic continul si transmit aceste mesaje de oprire pind cind sursa reduce viteza de transmisic la 0 valoare acceptabilt Ruterele folosese o altd functic ICMP valoroask penteu a comunica unui ale ruter ci stiu 0 cale mai bunt pani la destinatie. Accasta se realizeaza folosind mesajele de redirectionate Raterele pot folosi, de asemenca, mesajele de depisire a timpului pentru a indica unui alt dispozitiv de ce un pachet a fost respins, CAPITOLUL 2 Introducere insula de protocoale TCPAP. 35: fn afari de rutere gi alte dispozitive intermediate, si gazdele pot folosi protocolal ICMP. De exerapla, stunci cind un calculator este inclzcat si nu ste care este masea de reea pentru refeaua local, poate genera un mesaj de cerere a migti de adrese. Un alt dispozitiv din regea poate rispunde acestui mesaj pentru a ajuta calculatorul afl in dificutate. |i tabelul 21, mesepe pentru cee de informasigeispurs la acesioa sunt Incuse nual penta o prezentare compet oul acesora era inal dea pormite unl gazde ct obo aazas IP, dar aceasta unc ese acum asiguald de protocdile bootp si DHCP (Dynamic Host Configuration Protea). Adresarea IP Adresele IP sunt utilizate pentru a ofeti un spasiu ierathic de adrese pentra Internet Fiecare adaptor de rejea are o adresi de rejea codati in hardwate, eu lungimea de sase octegi Aceasti adresi este imprimats in cursul procesului de fabricatie, Cand pachetele de dace sunt trimise pe cablu in segmentul local de rejea, adcesa MAC (Media Access Control) este cea folositi efectiv pentru adresele sursi si destinatic inglobate in cadrul Ethernet, care ineapsuleazi datagrama IP propri-zis, Singusa componenti semnificativi a adresei MAC este formati din primi trei octey, care identifick produsitoral plicii. Ceilalgi trei octesi sunt folosigi por si simplu penta a identifica in moc unic fiecase dispozitiv, Termonl adrest MAC, adres fic si atresd hardware sutinterechimbebl, Flacare Give acegd tment face refre la acresa Jmpimai de prodledtornfecareplacd aba, ‘Adrosa MAC alocat fecal pc de ejea est unicd.Aceasta ete o acesh pe 6 oca,expimatl de oboe in cite hexazecimale, pent fi mal ugor de sci. De exerplu, este mut mal wore sete 00-80-C8-EA-AA-TE Cecdts&exprimatiacseai acres in bnar(caeace vedo rejoava) sub forma url i d8 O91, culongimea de 48 de caractr Clasele de adrese IP Intemnet este 0 colecgie de rece indviduale conectate impreund, Protocolul Internet, dlupi cum sugerzai'sinumele, este folosit pentru schitbudle de date ie rele Amintj-vi cd taate comunicaile din segment loeal de rea au loe folosind adeesele MAC, Dact nu ar necesarkconectate refleor mic inte strocrar mai mare, adeesarea ar putea fi desl de simplt, Pontraidenticarea nich a fecal exlclator cin cejen st putea fi folost fe adzesele MAC, feo chem simpla de numerotare (1,2, 3), Orleum, protocol IP permite caleulatoatlor din diferite pur de eee st schime date inte ele © adesi JP are lungimea de 4 octet (32 de big), In imp ce adeesele MAC sunt exprimate de obice in novia hexazecimalt,adzesele IP sunt exprimate de obieel ntrun format aumit notaie zedmalf eu puncte: Acessta inscamni cd fecare octet din adzesd poate 6 transformat in repezentarc sa necimal ar el patra octei i aceesl sunt separa pia Ppanctepentna afi mai yor de sefnat, Tabel 2.2 aati care este lepatara dine valor zecimale si vals binare al adrese de 32 de big 10001100101 1000011011001 10010100.36 PARTEAI Sitnelegem frewal-unie i sciratea in internet CAPITOLUL 2 Introducere’n suita de protocoale TCP/IP 37 ‘Tabelul 2.2 Adrese IP exrimate in notte zecialé Valoare zecimals Valoare binarit 140 10001700 176 10110000 217 11011001 = 148 70010100 ‘Aga cum puteyi vedea, este mult mai ujor sk sexiegiadresa in notayle zecimali ew puncte (140.176.217.148) decit si folosiq echivalental binat. Deoarece adresa IP este utilizati pentru a zuta ua pachet prints-o colectie de refele sepatate, o parte a adresei IP este folositi pentru @ identifica reyeaua, ar cealalté parte a adresei pentru identificare calculatorulu. Pentru a complica pun lucie, adzesele IP sunt impirfite in tri clase importante (A, B si C) si alte dowd mai pusin cunoseute @ fi B). Ficeare clash foloseste un aumis diferie de bigi din adresa IP pentru identificares rejelel, Pentru a identifica diferitele clase de zegea sunt folositi primi ctiva bi ai adtesei Devatece numirul total de big disponibili pentru adresare este intosdeauna acelagi (2), uilizatea unui numit diferie de big! penteaidentificasea refelelimplic8 fapea c8 unele clase pot st identifice mai multe seyle decit alee, De asemenea uncle cate pots idensfice mai multe ealeulatoate in fiecare rejea Pateg spune cirei clase i aparyine o adzesi examindnd primi patra biti al adresei, Tabelal 23 prezintd clasele de adzese IP, in functie de valosile primilor patru biti. In acest tabel, povifile biglor marcate cu," indie’ faprul ci valoarea respectivs nu contexzi in dleterminarea clasei de adzese IP. arse IP, dtorinat de pi pat bi Valoarea primului octet nex Osx T10x Tit ait Orice adresi IP care are valoarea 0 pe pozitia primului bit este o adres din clasa A, indiferent de valorile celoslali trei biti din Orice adresi care incepe cu valoarea 10este o adsesi din clasa B si aga mai departe, Amintit-vi ci acestea sunt valoti de bilgi sunt exprimate in binar. Ele nu sunt valorile zecimale ale adresei IP folosite in notagia zecimali cu puncte. Adrese de clasa A Intervalul pentru adresele din clasa A incepe de la o combinatie eu toti cei 32 de big avind valoutea , pin Ino combinatie ex O pe prima pose si reseal biglor avind valoarea 1. Dacd lua fiecare octer si il ransformati in zecimal, veti vedea ef adresele din clasa A, exprimate in nota zecimall cu punct, pot vatia de ls 000.0 la 127.255.255.255. Primul octer din rdresele de clas de cegen a adresci, iar cil tei octei sunt folosigi pentru identificarea fecal calculator din rejea. Deoarece primul bic al primului octet al adresei are intotdeauna valoarea 0, mai rimin snumai 7 bifi cu care poate fi creati o adesi de rejea. Ca urmare, intro sejea de cast A pot cexista numai 127 de adrese de rejea (01111111 in binar). Nu pot exists 128 de adsese de rejea in aceasth clasi, deoarece numirul 128 exprimatin binar este 10000000, care indict 0 adresi din clasa B. Deoatece primul octet din adresa de clasi A este folosit pentru identificarea adreselor de rejea, rimn trei octefi care pot fi folosig pentru identificarea calculatoarelor din refea, Cea amai mare valoare pe cate 0 putei exptima folosind 3 octei este un sir de 24 de 1. In zecimal, aceasti valoare este 16.777.215. Dack numiragi 3i valoarea zero (itervalul devenind astfel 0-16.777.215), aceasta inseamni un total de 16:777.216 (2 la puterea 24) adrese ce pot fi exprimate folosind cei 3 octet Acest numis insetmni o multime de adrese de calculator! Ca urmare, pot existe fn total 127 de regele de chsi A Gdentificate dup& primal octet al adresei de casi A), fiecare rea patind avea pini la 16.777.216 adrese vnice pentru calculatoarele din rejea. Astiel, domeniul de valos pentru rejelele de clash A vatiaad de la 0.0.0.0 la 127.255.258.255. Dac vedefi o adresi dia acest domenin, pute fi sigur ef este o adresi de clasi A. Valoaroa unl octet cut bit (11111111) este 25 nota zacmal. De alc puel deduce creo acres IP ny poste avea vreunoctotma| mare deat aceast valoare, Oe exempu, avesa 140.178.128.256 nu osteo acres IP Valid, deoareceulimu oct este mal mare dec valcareazecimalé 256. Rene acest uc tun cand va gn cm si stb acest P perry rejeaua dumnaavoastl Adrese de clasi B Aceasti last de adrese poate fi identificatl atunci end primi doi big ai adresei au valoarea 10 O adrest din casa B, exprimaté fn bina, poate vatia de la o combinaiie de bii care lncepe cw 1 si este urmati de 31 de 0, pind la 10, urmat de 30 de 1. Exprimat in notatia zecimali cu punct acest interval vasiazl de la 128.00.0 pind la 191.255.255.255, Valoasea 128 in zecimal est: 10000000 in binar. Valoarea 191 in zecimal este 10411111 in bina. fn adresele din casa B, primi doi octei ai adresei sunt utilizyi pentru identificarea reele, jar ultimii doi octegi sunt lisa pentru crearea adreselor ealculatoarelor din retea. Folosind ceidoi octet in aceastl clask por exista 16.384 de adrese de regen (de la 128.0 fa 191.255) si 65.536 (2 la puterca 16) de calculatoare individuale in ficcare refea din clasa B. ‘Jinind cont de faptul ck porsiunes pentru reyea si poryiunea pentru caleulatoare gazd din adresa de clasi B au ambele lungimea de 2 octet, de ce apare o diferentd intee numiral de refele adresate si rumirul de calculatoare gazdi care pot fi adresate? Aceasta se datoreazt faptalui ck adresa de clasi B are intotdeauna valoarea 1 pentru primal bit si valoarca 0‘38 PARTEAI S3nologom frewall-urle gi securitatea tn Internet | pentru al doilea bit. In plus, si alte clase de adrese sunt definite utlizind primi trei sau patru bit i adrese. Aceastd reguli climini o parte din valocile posibile pe care le puteyi | ‘rea cu ajutoral a doi octeti penteu obrinerea unei adrese de reyea. | Pe scutt, adresele din clasa B pot avea valosi intre 128.0.0.0 si 191.255.255.255. | Adrese de clas C ee ee ‘wansformagi aceasti valoare in zecimal, puteyi vedea cd adresele de rejea din clasa C pot avea valori intee 192.0.0.0 si 223.255.255.255. Primil tei octefi ai unci adrese din clasa C reprezinel partea de rejea a adresel gi numai ulimul octet rimane disponibil pentru crearea adreselor de gazde. Ficind un caleul simply, puteyi vedea e8 pot exista pind In 2.097.152 de regele din clasa C, | ficcare avind cel mult 256 de calculatoate gaadé (in incervalul 0-255), Aceasti impasrre asigurl un aumir mare de rejele de clask C, fecare avind un numir mie de ealeulatoare | | Clasele D si E | Clascle D si E sunt folosite diferie fayi de clasele A, B si C. Adresele din clasa D sunt | sezervate pentru difuzisle pe grupuri (multicast). Procesul de transmnitere a unui pachetde | sofea citre mai multe caleulatoare gazdi se mumeste multicasting, Adeesele din casa D pot | avea valor, in zecimal, intre 224.0.0.0 xi 239.255.255.255, fnts-o adcesi dia clasa D nu existh octeialocati aaume portiuali de soyea sau de guzdi a | ‘adresei, Aceasta inseamn ck pot fi create 268.435.456 de adrese unice de clasi D. Adresele din clasa E. pot fi identificate dupa valorile 1 stabilite pentru big de pe primele patra poziti. fn zecimal, aceasti clasi are valori intre 240.000 gi 255.255.255.255, vvaloatea maxim pe care o puteti exprima in binae folosind numai 32 de bi. Adresele din clasa E sunt rezervate pentru utlzis viltoare sin mod normal, na sunt folosite i reglele conectate prin Internet. ‘Adrese pentru reteel private | ‘A doverit car fa Incoputul ani '90 c8 spa de adrese [PV s.ar putea epuza mult mai ropede dectt sa ppreconizat. In documentul RFC' 1918, ,Alocarea acreselor pentru retelele Inmet private”, se disculd despre lfzare ctor domeni de ad eseIP pent elle private care nu tobule sé comuncedlect pe Internet Aceste omeni sunt tare: 100.00 ~ 10255255255 172.18.00~172.31.255255 192.168.00 ~ 190,168.255.255 | 1 REC = Acronim pentru Request for Comments (Iavtaje Ia dscui). Document in care este publicat un standard, un protocol sau alte informa efeioare la fancyonarea Internet. fn realitze, este emis sub conteololonganismulai Inteznet Architecture Boaed dupk dis gi are rola de standard (trad) 2 in oxiginal, ,Addess Allocation for PivateTntemets (astra) CAPITOLUL 2 Introducere tn sulta de protocoale TCP/IP 39 Deoarce in prezentaosste adrese nu mal sunt valde in Inteme, ele otf uate de mal mute reel privat. Pentu a conecarejaua privat la nemo, pute fle! urul sau ral mute servreintermediare. Ver! gt > Veg capital 7, ,Porfi de aplicaii gi severe intermediar', la pagina 132, pentru rai matte informati despre modul cart se eligad acastéalecare Adrese de difuzare si de difuzare pe grupuri Pani in acest moment, am identificat domeniile de adrese care pot fi utilizate pentru 2 crea adresele TP cin diferite clase. Inst existk si excep care trebuie remarcate. O adresi care identifici in mod unic un calculator din Internet se numeste adresi wid (anicast). ‘Nurmiiral total de adrese unice din fiecare clasi va fi mai mic decat crederi, deoarece uncle adrese sunt rezervate de obicei pentru scopusi speciale. De exemplu, orice adresi in care primul octet are veloarea 127 nu este o adres& valid In afara calculatorului gazdi local. ‘Adresa 127.0.0.1 (care din punct de vedere tehnic este o adesk de clasi A) este numiti de obicei adrasa de bul (ogpback adds) si poate fi folosita pentra testarea stivel TCP/IP de pe calculator. Cind teimites! un pachet citre aceasti adesi (folosind comanda PING, de exemplu), acesta ne iese din adaptoral local de refea pentru afi distribuit in reyea. Pachetul 1 face decit si traverseze stiva de protocoale inainte $i inapoi pentru a testa configurarea corespunzitoare a zalculatorvlui local. Accasti adresi ponte fi folosith si cu alte uilitare TCP/IP decit PING. De exemplu, folosind aceasti adeest putes! transmite un mesaj telnet tre calculatoral local pentra 4 testa funcrionalitatea serverului telnet local. fn genera, au folosg valorile 0 sau 255 pentru nici unul din cei patra octey ai unel adrese IP. Daci este folositi in porfiunea de refea a unei adrese, valoarea 2er0 implici reyeaua cureati, Valoarea 255 este folosti in adrese pentru a specifica un mesaj difuzat. Acest tip de mesa} este transmis o singurl dat, dar poate fi receppionat de mai multe guade. Difuzirile por & folotite pentra tranamiterea unui pachet citre toate ealeulatoarcle dinero anumitk reyea sau subrejea, De exempla, un pachet cu adresa 10.11.255.255 va fi recepjionat de toate calculatoatele guzdi din reyeaua definitk de 10.11. Tebelul 2.4 prezinti numirul de adrese rimase de fapt pentru casele A-C dup’ extragerea adreselor speciale Tebelul 24 Adres IP dlsponibile Cast Romar de rele Num do garde A 126 16.777.214 B 16384 65534 c 20087.152 25440. PARTEAI S¥ nelegom firewall gi securtatean Internet Ce sunt subrefelele? Spasiul de adzese IP este foarte valoros. Pentru ca o firma (Ga un furnizor de serviil Internet) si creeze mai multe refele, s-ar pirea ci este nevoie de mai multe domenii de aires, fs exis o metod de adresre, dena erl cu sobre (ubaetig), cre oate fi ilizati pentru a lua un singur spain contiguu de adcesesia-1impfrylin mai multe ele denomlte bale (mbna. Be exemple, ovndresh de cst B ponte wves pled la 65.534 de calculatoare gazdi pe un segment de reyea. Pusind lume are nevoie de atitea caleulatoare into singuri repexFolosizea unui asl de domeniu pentru o reya mich at putea fo sips enorma. Desi clasele de adese IP au fost stabilteastfel Incits8 simplifie identficarea fectei porfuni a adeesei IP care a fost folost pentra identifcarca adresei de sejea si a calculatorului gazdi, existh nevoia de stabilie a piri de adresi care este folositi penta ‘dentificarea subreyzlei. Aceasta se realzeaa4 cu ajutorl unel maj de subrge (ndne mask) © masck de subsefea este o valoate binasi pe 32 de big ulizak special fn acest scop. Masti de subrefea de casi A, B siC © masci de subregen poate f utilizaté pentru a ,jmprumuta cétva biti din porfiunea de gazdl a adresei IP asfel inctt si post & folosii pent identificarearefele sau subrefele. Masca de subrefea este o valoare exprimati in format zecimal cu panct, la fel ea 0 adcesi TP, iar clul aceseia este de a ,masea porgiunea din adresa IP care specifichrejenua gi pattea de subrejea a adresei. De exemplu, clasele de adrese A, B si C, care au fost descrise mai devreme, au asociate iigd specifice. Masca adreselor din casa A este 255.0.0.0. Deoarece 255 este reprezentat in binar ca un sir de opt bigi eu valoarea unu, reprezentarea binari a acestei migti este 11111111000000000000000000000000. Folosind fogica boolean, aceasti masci de sub- rejea in format binar poate fi utiizatk impreuni cw operatorul AND pentru a masca porfiunile de refen si subreyea dintr-o adresi IP. Folosind operatorul avo, se va objine sezultatul TRUE numai dae ambele argumente au valoarea TAUE. Daci valoarea TRUE este xeprezentaci de aumiral I si valoazea FALSE este reprezentath de numiral 0, este usor pentru un calculator sau un rater si aplice masca ndkeset IP pentra a obfine poryiunea de reyea 2 adresei. Tabelul 2.5 arath cum suat obsinute valosile finale Tabelul 25 Logica booleand clos peru mgile de subrefea Valoarea adresei IP Valocres Remultat i 1 1 a 1 0 0 0 1 0 0 0 0 CAPITOLUL 2 Introducere tn suita de protocoale TOP/P 41 Puteti observa ci atunci ctnd aplicafi masca de subsejea 255.0.0.0 unei adrese din clasa A, singura porgiune din adresa IP care este selectatk pentru adresa refelel este cea confinutd in primal octet. ‘Va putef da seama usor cf masca de subrejea pentrs adrescle din clasa B este 255.255.0.0, jar pentru adrescle din casa C este 255,255.255.0. Fecare dire aceste mii de subrejea blocheazi doar porgiunea din adresa IP stabiliti deja pentru clasa respectivi ci este folosith ea adresi de refea. Ptin modificarea valoti mist de subrete suplimentati cate formeazi partea dedicata gradei in adresi si as spayiu mare de acrese in componente mai mii. Pane imps Subdivizarea unei adrese folosind miistile de subretea fmpissrea in subrecle devine util atunci cin Tua un anumit span de adzese de cepa i ‘imple in subsefele separate De exempla, masca de subresea 255.255.255.128 poate 6 folosth penta impliyicea unui spagiu de adrese cin clasa C in dou subreyele distincte. Dac aceasth mascd este aplcath adresi de sejea 192.113.255, objineyio subrefea cu adtese de gazde intre 192.113.2981 38 192.113.255.128 sf 0 alti subrejea cu adrese de gazde ine 192113255129 3h 192.113.255.254, in acest exemplu au fost climinate adresele care au in uml octet sumai valor 0 sau numa valor, deoarece acesteadrese sunt eazu speciale yin general su pot fi foloste ca adeese de garde; de exemply, 192.113.255.0), Tace-ua alt exempla, pues vedea ef 0 mascl de subrefea cu valoatea 255.255.255.192 va Imps un spain ce adrese de reje din casa Ci patr subrejele, fecareavand la disporitc 62 de adrcse de gazde, Pentru aingelege acest lara, priv reprezentare binath a numa 192, care este 11€00000, Deoarece primii 2 biyi au valoarea 1, cfnd este aplcatl masca ‘min numai 6 bij care pot fi folosi pentre adresele de gazde’ Cel mai mate nuindr care poate 6 stoeat pe ate bigest 63. Deoarece mu pure flosio adresi de gaudt care confine ‘numai un sau aumai 20, pentra adcesarea gazdelor rian ssumerele dela 1 la 62 fn Ggura 2.3 pute vedea ch adzesa IP este acum formath din tri pir: adesa de refa, adresa de subeega gi adtesa de ga2di. FOUR 23 Pate ee OnasctdesubejoagoteSiobsia FFaynTht tran Hatt Foo potenti pore pena IN adresa de rejea, acesz de subrejea sf Porjiunea petty <<} ae rosa adresa gazdel din adrese IP. dros reeled ‘subrejea_gazdei Nu vreau sé fa tate ealculele asta! Dac. nu dol sv plede timp calutind valor subreflor, pute stula un document RFC care v8 poate aja, Cau Internet documentul RFC 1878, Taball de subrefle de ungime vaebia pani protocol vs Aces! document confine 0 list cu valore pose pentu mastle de eubejea gi vi erat cum pot fulzate, Ds serene, pul st cua itemet produsee shareware denumtecalulatoaro dl subrefea (subnet caleiatirs), 2 care ie pute) fool parry eoctuarea oslodalrrespcive. ‘in orignal, ,Vasable Length Subnet Table for IPr4" (ara)42_ PARTEA| Sa inelegem firewal-urle st secuittea tn internet Cum se calculeazii adresele de subretea Pentru 4 impliryi ia subrejele un spagiu de adrese, trebuie st stabil iniial numdrul de adtese de gizde de care avesi nevoie in fiecare subrefea si si exprimayi acest numa in binar. Aja veti vedea de cig big aveyi nevoie pentru portiunea de gazdi a spayului de adtese, Scideti valoatea obtinuté din numfrul de big disponibili @, dack impargif in subrefele ultimal octet al unei adrese din clasa C). Apoi calcula echivalentul in zecimal al ‘numirului binar care confine pe primele pozifii rimase aumai big cu valoarea 1. De exemplu, pentru a crea subrejcle care au fiecare cite 30 de adrese de gazde, va trebui si stig care este valoarea binari a numarului 30. Este 11110, ceca ce inseamnd 5 biti In binar. Ca urmate, rimén 3 bifi care trebuie mascayi pentra a crea porfiunea submasti de refea a adresei (8-5=3). Reprezentarea binari a mast este 11100000, ceea ce inseamni 224 in zecimal. Cite subzefele putegi crea folosind aceast# masci? Deoarece sunt utilizati doar 3 bigi pentru identificarea subretelei cel mai mare numir pe cate il putes reprezenta este 7 (111 tn binar = 7 in zecimal). Dach includei si valoarea 0, obgineyi 8 adrese de subseyea posibile Ca urmare, dack folosiqi masea 255.255.255.204 pentru impiryires in subreyele a unei adtese IP din clasa C, puteyiavea 8 subregle, fiecare cu 30 de adrese de gazde. Care vor fi insk adresele efective de gazde din fiecare subrejea? Adresa primei subrefele este 000. Deoarece adresa IP este exprimati in notafia zecimald eu punct, calcula cate adrese pot fi stocate intr-o valoare binari pe 8 bii care ineepe intotdeauna cu 000, apoi transformay-le in zecimal,astfel do 1a 00000001 1a 00011110, cees ce inseanna de ta t 1a 90 in zocinal. ade care contin rumal ‘Ades 00000000 gi COOTT111 nu sunt vad, deverece au ca rezutat a (9.2550, gardele dn pir respect mural 1. Dac eceesi masol ar antcat adtesl de rea cn clas C192. ‘bea a ven acese de a 1921132551 a 182.118.286.20 Utlizand aceasté mascf, a dona adcest de subregen este 001, Domeniul adreselor de guzde care por fi create pentea aceasta subretea este urmitoral: de 2a 00100001 1a 00111110, ceea ce insesnna de 1a 99 1a 62 in zeoima fn urma aplicir acestei mise de subrejea, gazdele din a doua subrefea pot avea adrese fntre 192.113.255.33 gi 192.113.255.62. ‘A treia adresk de subregea este 010, Domeniul aéreselor de guzde este urmitorul: de Le 01000001 1a 01014110 ‘Aceasta inseamna de Ia 65 la 94 ia 2ecimal. Domeniul adreselor de gazde pentru a treia ‘subzegea este cuprins intee 192.113.255.65 si 192.113.255.94. Continuind calculele pentru celelalte subrejele (de la O11 la 111), vefi veden cX aveg 8 subrejle, fecare cu 30 de adrese disponibile pentru guzce. Puteyi continua imparycea spatinlul de adzese pint cind ajungesi sk folosi 6 big pentru masca de subtejea, Aceasta lasi la dispozisie oumai 2 adrese pentru gazde (deoarece nu putey foloiadsesele care au numa 0 saa neat 1) Ld mpage in subregele eu numai 2 gaade nu este chiar 0 idee practici. | | | CAPITOLUL 2 Introducere in suite de protocoale TOPAP 43, Analiza confinutului unei datagrame IP ‘Dupl ce un cadm este recepfionat de un adaptor de refea pe stratul fizic, informatile de sata cada zen st reevante pent protcoa Psu elias, pahet este transferat in sus in stiva de protocoale. In figura 2.4 puteyi vedea structura unui eee Pp figura 24 puteyi vedes struct FIGURAZ4 0 4 st a Prtcld P Tesi | [pale slassentiformapie |_ (oH) | (bi |velu(@oqh| __“sAalmeatot 16) aiatnane ‘once (16 i) Tndetor| _Doplsamnt de Sees (Sony | tamer) vane) | Protocole | Sumade enol a ane (16 i) ‘Arosa IP sursi (82 dab) ‘dese IP desinaie (82 de ip) Opfunt, ac oi (eit) Completare (varia) Date (arab) ind strata IP receptioneacd datagram, nu stienimic despre informaile de antet ale cadmas foloseyeiformail din antend TP penta o diverse le fancs Exe lmporeant si ingleget conyinutal anteralui IP dacf docg eit infelegey cam funcgioneazh un filtea de pachete, deoarece pe aceste informatii se bazeazi decizile filerului. Cimpurile din antetul unui pachet IP sunt urmitoarele: : 4 Versiune — Acest cimp indi versionea protocoluloi IP care a conser datagrama. impale lnganes de bin presuncea na ze ersane TB et eatonen sUanstonea pene" IP exe uni iby, price ee ertsnes 6 Veen diferite de IP folosesc formate diferite pentru informagile de antet. Datoriti acestai aspect, daci stratal IP de la eapitul destinatie este o versiune mai mick (adicl mai veche) decte cea specifica in acestcimp, varefuza pacheral. Acesta este isi un evenimeat ra, dose in prevent majortatea sistem folosese versiunea 4 a protocol IP. 4 Lungimea antetului Internet (Intemet Header Length, sau IHL) ~ Acest eimp confine lungimea antral pachetalu si poate f tlzat de programele sofware penta ‘calcula locul in cate incepe efectiv zona de date in cadral datagramei. Lungimea este exprimatl ca un aumir de eavinte pe 32 de big. Acestcimp are ungimea de 4 big. 1 Tipul de serviciu — Acest cimp de 8 bifia fost ereat pentru ca protocolul IP si poath decermioa modi de tae ¢ une ete datgrine, cum ae acon onl Doris mai mii sau mai mad pentra un pachet lnsi nil o implementare important 4 protocolul IP versanea 4 nu folosest big dn acest cmp, astfel incain mod uzu 4 protocol IPversianea 4 feloseteipi din acest cmp, estflincat in mod ural a = enema44 PARTEA! Satnfelegom frowal-ule i seuttatean Internet Mi Lungimea datagramei — Acest cimp este folost pentru a specifica lungimea tntegii datagrame si este exprimat inte-un numir de octeti (bytes). Deoarece are lungimea de oate fi folosit pentru a specifica o dimensiune de pachet de pina la 65.534 de Scizind valoarea cimpului IHL din aceasth valoate IP, poate fi determinati Jungimea zonei de date a datagramei. Identificare ~ Atunei cénd protocolul IP imparte un mesaj in mai multe datagrame astfl incit si poati fl transmise prin refea (operate denumickfragmentare), tebuie si ccunoasct la capital de destinage ce datagrame spartin aceluiasi mesa, astfelincdt si poati f reasamblate, Pentru acest seop este utlizat acest cimp. Calculatorul expeditor va folosi un numir unic pentra fiecare mesa) trimis, iar fecare datagrams dintrun anummit mesaj va avea aceeasi valoare in acest cimp de 16 big. WM Indicatoti - Acest cimp confine mai mult big indicatori. Bitul 0 este rezervat si ar ‘cbui sf aiba mereu valoarea 0. Birul 1 este cimpul Fard fragmentare (Don't Fragzent, sax DF} 0 = se accepth fagmentarea, 1 = nu se acceptt frigmentarea, Dac un calculator determin ch trebuie s% fragmenteze o datagrama pentru 2 o trimite prin tummitorul segment din rejeaua fzich si dack acest cmp DP ate stabilits valoazea 1, renungi la datagram’. Dack acest cimp are valoarea 0, imparte datagrama in mai multe datagrame astfel inctt acestea si poath fi trimise mai departe pe traseu, Bitul 2 se numeste Mai multe fragmonte (More Fragments sax MF) siesteutiizat pentru a indica starea de fragmentaze a pachetului. Dack are stabilict valoarea 1, trebuie si mai soscasca gi alte fragmente. Ultimul fragment din mesajul original care a fost fragmentat are valoarea O in acest elmp. Impreund, cele doud cimpuri controleazl procesul de fragmentare, Deplasamentul de fragment — Arunci cand indicatoral MP ate stabiitd valoacea 1 fadici mesajul a fost fragmentat), acest cimp este folosit pentru a indica pozitia, feagmentului in cadral mesajului original astfel incit accsta si posti fi reasamblat corect. Acest cimp are o lungime de 13 bifi si exprima valoarea deplasamentului acestui fragment in unititi de 8 octepi Durata de viaga (Time to Live, sau TTL) — Acest cimp specific petioada maxims (in secunde) in care ise permite unei datagrame si existe in refea. Valoatca este stabilicS Ininceput si este redusi de fiecare masini prin care trece datagrama. Cind acest cimp sjunge la valoarea 0, se zenuagi la datagrams. Retiney cf, des acest clmp poate fi reds tu clteva secunde pe o masini cx incireare foarte mare, este redus intotdeauna cu eel putin o secunds pe fiecsre maging prin care tece, chiar dact a fost necesatt 0 petioadt ‘mai mick de o secunda pentru prelucrarea datagramei Protocolul - Acest cimp de 8 biti indict tipal de protocol pentru datele continue in ‘ceasti datagram’, Network Information Center (NIC) stabileste numerele folosite in ‘acest cimp pentru identificarea protocoalelor. De exempla, TCP este indicat prin plasarea valosii6 in acest cimp. H Suma de control a antetului - Este o valoare ealeulati pe 16 big, utlizaté pentru a verifica integitate informagilor din antet. Cand informatie din antet sunt modifcate, aceasti valonre este recalculati. De exemplu, deoarece valoarea TTL este scizutl de fiecate sistem prin care trece datagrams, se modificd si valoarea sumei de control. W Adresa sursi~Este adresa IP a sursei datagramel. Acest cmp are ungimea de 32de big. W Adresa destinagie — Este adsesa IP a destinayei datagramei. Acest chimp are lungimen de 32 de big CAPITOLUL 2 Introducere tn suitade protocoale TCP/IP 45, M Opsiuni ~ Acessa este un cimp opyional, de lungime vatiailf, care poate confine 0 lise de optiuai. Intre clasele de optiuni se numick: control, aoa Separate i rmisurl. Radarea a sord poate fi implementati cu sjucorul acestui cimp si ate 0 importangi deosebii la configurarea unui firewall Completare ~ Acest cimp este utizat pentru a completa antetul pan la limita de de big. Completes se face cu 2erout. a ze * Informatii importante din antetul pachetului Filuele de pachete opereazi pe baza informatilor gisite in antetal IP. fntze cimpurile importante se numieh adzesele sursi gi destiajestpal de protocol si indicator de fragmentare. De exempl,fubifiarea IP se petrece atanci cind un hacker plaseaz’ inti-un antet de pachet o adresi sursi care nu este sursa reali a pachetului, Din acest motiv, trebuie si vi asigurad atunci cind configurayi un fltru de pachete cf acesta va refuza osice pachet care ajunge It interfaga de repea extern si are o adresk de sursi care indicd faptul ci pachetal vine din rejeaua intern. Deoarece acest pachet sjunge pe interfaja extern’, 20 poate f ua pachet vzlid din rejeava dumneavoaste cio incercare a unui hacker de plasare Jn zejea a unot pachete care arati ca gi cum ar fi emise de aid Campul de optiuni sirutarea la sursi Desi chmpul de opfiuai este optional, poate fi utlizat in moduti pe care ar trebui si le ccunoastep atunci cind construli un firewall. Aici este locul in care se defineste rv la sured pentea 0 datagram’. Atunci cand am discutat prima dati despre protocolul IP in acest capitol, am spus eX IP last decile de rutate th seama celorlate. protocoale. In majoritatea cazurilot, aga se intémplt. inst, dup cum purefi vedea in tabelul 2.6, existh ov opsiuai care pot fi utilizate de IP pentru rutare. Acestea sunt ratarea lend la suns (opfiunea 3) si tara strict la sured (opyianes 9). ‘Tabolul 2.6 Clase runacoe de opfun Closé de opfiane _Nomér de opfiune_Utlizare 0 Tadict finalul une! liste de opfiuni i Fisk opfivnt 2 Opgiuni de securitate pentra domeniul militar 0 3 Rutare liber la sursi 0 7 “Actives eatarea la surstt 0 9 ‘Rutarea strict la sucsi Marea de timp activi ee eee re Ratarea la sussi poste fi utlizati de un hacker pentra a forya un pachet si revini calculatoru! sit folosind © anumith rut a side ane46 PARTEAI S8injologem firewal-uril si secitates in Internat CAPITOLUL 2 Introducere tn sulta de protocosle TCP/IP 47 Ambele opfiuni oferi o list de adrese pria care datagrama trebuie si treaet. fn cazul rutiai bere la suts, lista trebuie 8% fe respectati, inst pot fi foloste si alte rute pentru a ajunge Ia flecare masini adresaté in list. In cazul ratiilsteicte Ia sursi, Usta trebuie respectati cu exactitate iar in cazul nerespecudl, datagrama este respinst Ver! gi > fn capital 3, Securitate i Internets pute gsi mai multe informait degre ratara la saad ‘motive patra are ar trabu 20 degtivgt la nivel fren Ce sunt porturile TCP si UDP? Dack toate aplicaile care folosesc zejeava si-ar identifica destinaia pentru transferul de Gate pe baza une! singuce adrese IP, informagile a ajunge la calcularorul destinage, inst fr fi aproape imposibil pentru acl sistem si determine cirai proces si-iatibuie datele respective. ‘Atit protocolal TCP cit si protocolul UDP folosese numere de portusi pentru a rezolva aceasth problem. Fieeare splice care comuici in rereafolosind TCP/IP specifi siun numa de port de pe calculatorul destinafie. Numerele de portaci sunt pace finale (endpoint) pentru calea de comunicafic,astfelincit dowa aplicag care comanict prin tejea sf se post identifica una pe cealaltl. Gandlfi-vs la adresa unei firme, Daci toath corespondenga ar expediati doar cu adresa siriii, cum afi putea determina cine trebuie s& preia fiecare sctisoare fa parte? Folosind numéle unel persoane sau numérul de eamer3, punt final al comunicafiei este definit mai peecis. Acesta este modul In cate opereazt porturie. Porturi general cunoscute Internet Assigned Numbers Authority (ANA) este organizaia care controlesza primul domenia de numere de porturi disponibile (0-1023), iar acestea sunt numite in mod uzual porar general axnorcnte(vell-knoam port), Uslizacea acestor portuti a fost definict in citeva ‘documente RFC (cel mai recent in RFC 1700) gi se modifick doar oravinnal Veal gi > Vefgis o ist on aate porter go sunt desire a moduli lor dewtiligare fn tabehd A.1 din anexa A, la pagina 318, Porrurile general cunoscute sunt de obicei accesibile pe un anumit sistem unui proces prhlegiat sau utlizatorilor privilegiag. De exemplu, putes vedea c¥ utltarl Telnet foloseste porta 23. fn tabelul din anexa A, observa ci, in majoritatea cazusilor, User Datagram Protocol (UDP) 5i Transmission Control Protocol (TCP) uslizeszt un anumit port in acelasi mod. Insf acest heera mu este obligatoriy, astel cf atunci cind utiliza acest tabel, au uitayi st verificas! protocolul pentru ficcare port atunci cind ii chutai utiltaea. ‘Acesttabel poate fi utlizat foarte bine pentru a vi ajuta si vi decideti ce portusi si blocagi stun cind construig un firewall. Uncle dintre acesteaplicagt nu vor f uilizateniciodatt | de sistemul dumneavoastes, deci nu exist nici un motiv i permite prin firewall un de rejea care ustilizeazs aceste portari ee Porturi inregistrate Pot tates portrite numeroite de ls 1024 la 63535, care nu sunt sezerate de organizayia JANA. Avesce porturi sunt numite portan inregistrate si pot & utlizate de aproape orice proces udlizator din sistem. oe Servicii TCP/IP uzuale An fost create ie st umeroase servicii pentru a lucra cu suita de protocoale TCP/IP. Pe baza politicii dumneavoastri de secuitate, ar trebui si decideti cirora dintse aceate servicil le vefi permite si treaci prin firewall si in ce ditectie. Telnet Telnet este 0 aplicase care permite unui utilizator de eu . ‘ i wliator de pe un caleulator ss eonetere de la disanila ua ale exlsltn,flocnd o insta bea pe cele de corre lee suet in gener. pete protocol! TCP, asf ince 0 Fancsiune pone fee menginutl into manitdsigark In cimp'ce aumeroaseaplcal modccne de deuce floste de wigan fal wtlzeeca 0 intra geabck Tenet ove deetoas was an problemelor de gesdonareasistemrlos. Deoares Telnet s fost implement fe wea ele tsteme de operaedfee, eat posbi de exemple al vk conectag ls ve cet loes UNIS de pen clelator Windows NT. foe atunci cid wiz elas pontss svt coneon un sistem UNIX, trebuie st folosig comenzi UNIX pentn a execute activitl pe seed ue Telnet hele saat! simpls o fereastri pe magina situati Ta distant’, iar efectua operatiile dotite. * el de a ena ps fn general un server Tenet cate configuat sh of ; igus ofere protecie pent calculator gazds pai ullzcamecnimelr nosmale cements ale sted epee Aca Ingcamn ed, penta a vi conectal sister stat alata tcbule eh oo} wa one oe utilizator si 0 parol valide pe acel sistem, 2 ae ‘ Ar ebui sl vind evident penta dumneavonst nt evident pentrs umneavoas apt e8 tuebui st anliza cn foarte mld ateniedack este carlo petmteg teceren servic Telncs pus heal, Chee duck vi gindii el mecanismele de auteaufeae de pe sstemal demoeourd tae safe pen a pot pte oe oad staf wed cons sejenun la Tnteenet atl st casformay sistema den cased inten eowages ae 4 unui ata de orande din lame, Hacketh sunt foarte bani In willemes froweseles de spngee a parolees, pin alizaren de metode automate, pot sf deccien e oblen foarte rapid o schemi simpld de autentificare nume de utilizator/ parol. Dack intengonay st permite ulizarea servic ‘Telney, unis considera wieatca unei guade bastion pentru ofeitea aces servieiw i sdlumat un aval woolinesra ae48 PARTEAS S& infelegam frewall-urile si secuiatea tn Internet secusitate prin intrebuingarea unei aplicagi intetmediar care implic& un nivel suplimentar de protectie prin parolA Vert > Gadel aston i medul de confgurare a aestora sunt dentate in detain i capitlu 6, , Utlizarea mel garde bastion", la pagina 112. Protocolul FTP (File Transfer Protocol) chiar act plea Telne oat fare ull pentru executes de comendipe un stem Sinat i stg mal exist un servic ual pus a dsporge de Fle Taster Protoea 1D Act ellar vt permite gansura yee inte caleultoare, Ne nes servi Si exe sufcent de bun pena i fl permis sk opreze pinteun Firewall Ia eteva trgumente pens acest fag: Wr Ulzind FTP, un hacker poate desearce programe peieulas pe sistema dome oust Dict apleaie de dp yal wolad a fost copia pe calelatorl dumnea ‘voasttl, poate si deschids alte efteva brese de securitate si chiar si se ascunda printre tall de item obligate F wa Dact backend a compromis dea sitemal dumneavoasth ghcind” un sume de Stila sho parol jerle disponibile wtliind acest idencate pot 8 fur de Tncker Balt dumoenvoast fut la fel de sigue cx metodele de proture a evoracor puss Ia ispoigie de stemul de operce WO aefane eo adeview dustonre din putea onl hacker, care poate 6 efecunt prin Shit FTP, ee dea condnon tafe Sere de mal ment peealultoral dumneavouse pind fa umpleenefecivd a acu Uncle siteme de operte se ocheset dak ae loc un al de eveniment pe tel sistem Our, pte avea fn cses de exp atunel cid ebuie sh cud dss Servi eum af ecestl FTP toni por contigo wieaeun ale ic dets dic stem Chiat dat aceasta imped blots stem la omplerea cl impeded open sen de tess FTP anonim dato actu eveniment. La fel ea Telnet, FTP vi solic in mod obigait oh flotfo combina nume de utilizator/parolé valid pe sistemul situat le distanyd. Spre deosebire de Telnet, care Ghlgh becker sk injlega sistemal la cate se-conecteash, FTP. nu prepune Chace setulifundamental de coment al siemuluide operate. Comenaie FTP, chim arf Gov gi Fut, sunt mal rule dect standardzate, iar dack sont expabil incu sistem folosind FTP, exist nse tk pue face aproape ose dog pe sstemal respect ‘Accesul FTP anonim este utilizat descori pentru a permite oricui si transfere figiere pe si depo un server configu speci in aces scop. Atul end vi cone I un atl de sere ac abu eutlzn enonynous penta nucle de utzon. Mal pote solos ca purl aves de post clecconit, atl inci aleustoral aad pisteze o ineeisuare fod cive a vita sta Aeesta nu est eet un obi pur reba latin eel penea faa cocaatatebuza de cen server, -CAPITOLUL 2 Introducere in suita de protocoale TCP/IP 49) Protocolul TFFP (Trivial File Transfer Protocol) fn mod similar cu FTP, si acest serviciu ar webu si fe opst la nivelul fiewall-ubi. Trivial FIP este utlizat de obicei de dispoztive de repea, cum ar firuterele, penta face mai south descicarea de petce software si de ate coduri pentru disporitivl respect. Spre deosebice de FTP, TFTP na solic un nume de utlizator sau 0 parolal Dezactivag acest servicil Serviciul DNS (Domain Name Service) Sisternul de nume de domenii (Domain Name System, sau DNS) a fost cxeat pentru a ceentraliza procesul de efectuare 2 modificisilor la nume de refea pentru atribuirile de adzese si pentra a attomatiza procesul de executare a fancgilor de translatare. La inceputal ulti refelei Internet, exista 0 locatie centrala (RI NIC, Ja Instiretul de Cercetare Stanford, in Menlo Park, California) responsabild pentru intresinerea fisirului HOSTS cate confinea numele fiecirei gezde din Internet, impzeunk eu adrese corespunzitoate. Admioistratorii aveau obligafia si comunice modifietsile la centrul SRI NIC, iar aceste modificisi erau incorporate periodic in fier. Desigu, aceasta Insemna cd fgierl trebuia Si fie distribuie ulteior la flecare gazd in parte, astel incit aceasta s% poatt dispune de versiunea sctualizati, DNS foloseste © «thitecturi icrathict distribuitl care este repartizath pe aumeroase caleulatoare din Intemet. Un server root pistreazt informagi despre domeniile de pe nivelusile superioate (cum ar fi COM, EDU sau .GOV), iar fiecare domeniu din Internet are un server de nume de domeniu responsabil pentra numele calculatoarelor si adresele ualizate fa acel domeniu, Calculatoarele client interogheazd serverele DNS atunci cind a nevoie 88 obfini adtesa unui nume de gazda. Dack serverul DNS local cunoaste adress, sctuuneaz’ calculatorului client, Dact nu cunoaste adresa, tsimiteinterogarea mai departe fn langul de servere DNS pint cind este gisit un server DNS care poate rezolva numele, presupunind desigur cl este vorba de un nume vali, Una sine primele implementa! ale sistemului DNS a fost dezvolats la Berkeley pentu sister de operare rly BSD UNI (rersunva 43). Ca uae, deseor ve nai numele IND (Berkeley Internet Name Uomain) Inloc de ONS. In timp, auostdescopert numeroasebrege de secure in sistemul BIND. Asigura-v cl ave oa mal recent versiunesi fal respectatrecoriandarleprivioare la securtate pentru fia curentuinformati espre nol bree, astilincktsenvciu DNS s& nu devin Inrare secre tn refeaua durmeavoasva. Mal mut, ue implementa servicil DNS pe unserer, ast int acest nu le compromis de actuazaie dn tara "ele dumneavoasta, Ver gt > In capitol 6, ,Usbizarea uni gaze aston la pagina 112, vf go serie de tebe care pot f silizale penta ccigerara sigur a unui calelatr care va f fold cao gad bastion nsegistarea de pe cel mai inal nivel din ierathia DNS se sumeste domeniu ridicin’ si este eprezentati de caracterul punct(), Sub acest domenia ridicind se afli directoarele de pe primal aivel, impirfite In douk grupuri: geografice si organizationale. Domeniile geografice sunt folosite pentru specificarea anumitor fir, cum ar fi.au pentru Australia sau .uk pentru United Kingdom (Marea Britanie). Sub fiecare dintre domeniile geografice, |‘50 PARTEA SS tjelogom firewal-urile si secutatea in Inforet putetigisi domenii organizayionale, Printre domenile organizayionale pe care s-ar putea si Je cunoagtei se numark urmitoarele: W con ~ Folosit pentru organizagii comerciale 1 edu — Folosit pentru organizafii educasjonale. W gov ~ Folosit pentru organizatii guvernamentale din Statele Unite, ii — Folosit pentru organizati militare din Statele Unite. ine ~ Folosie pentru organizati intemagionale. not — Folosit peniru organizayi de refea, cum ar & furnizorii de servicii Internet. 1 org ~ Folosit pentru organizatii non-profit, arpa — Folosit pentru citi inverse de adrese. Sceuctura jerathiei DNS seamind cu un arbore risturnat. In figura 2.5 putes vedea ch in vvief se afl4 domeniul ridicini (e001) sub care sunt grupate domeniile de la con Ja arpa. Sub domeniul com se afl organizatile comerciale individuale care au fiecare un domeniu pproptiu. Sub fiecare domenin particular se pot afla dferite subdomeni, riguRA2s = Donan Nae ‘System este 0 Sanctus faa} Par] Ce] Cad] bed] bee) Dem fen Tmahecon]) [rise] [sme mach mfrasoftcom | [xmicrosaft.com Ta fiecare nivel, un nume complet de domeniu (FQDN, sau fully-qualified domain name) este creat prin concatenarea niimelui local cu numele enttiilor alate dessupra tn ierarhic. Ca urmare, nsdn.aicrosoft.con este folosit pentru denumirea subdomeniului msdn din domeniul Mictosoft, de sub domeniul con. Utilizind numele FQDN, este posibili folosirea multipls a unui nume de gazd, cu condigia ca acesta si produc nume FQDN tunice. De exemplu, fileserver.twoine.con denumeste 0 guzdi fileserver. Aceasti gaadi au ponte fi confundaté cu o sl gaadi cu acelasi nome, dar aflath fntr-un alt domeniv, cum ar fi Fileserver.acne.com. La stabilicea numelor folosite in sistemul DNS trebuie si fe respectate clteva regulk: WH Longimea maximf a numelui unui domeniu sau a etichetel unei guzde este de 63 de caractere, Lungimea maxims « numelui complet (FQDN) este de 255 de caractere, 1 Pot exista cel mult 127 de subdome: W fn texe nu se face diferengerea inte liteele masi si cele mick. CAPITOLUL 2 Introducere insula de protocoale TOP 51 Servere de nume principale, secundare si numai pentru cache Pentru fiecare domeniu din Internet trebuie si existe un server principal gi un server secundar. Serverul DNS principal al domeniului congine o colectie de furgitrti de reuse (resource records), continind mapirile la adrese ale numelor de gazde din domenia. Serverul DNS principal ia decizille finale in privinga acestor mapisi. Serverul DNS secundar congine 0 copie 2 bazei de date Intrefinitk de serveral principal si poate continua rezolvarea numelor atunci cind serverul principal este deconectat de la se\ea. Este important si reyineyi ci modificirile in baza de date se fae pe serverul DNS principal. Prin folosirea mecanismului de ‘ransfrpe zone datele sunt copiate pe serverele secundare. fn multe situa, un server DNS rlspunde l interogiti de nume din alte domenii decit cel supra ciruia are autoritate. In acest caz, serverul DNS contacteazd un server DNS aflat pe un nivel superior in ierachie, pink eind giseste un server care poate rezolva translatarea nome'or sau care poate indica un alt server DNS care ate autoritate asupsa ‘umelui. Serverul DNS pistreazi un cache de nume rezolvate prin aceasth metodi, astfel incat nu este nevoit si interogheze continuu alte servere penteu sume chutate feevent. Un al treilea tip dé server DNS este serverul numai pentru cache (caching-only serves). Acest tip de server nu pisteeana o baat de date pentru o anumiti zon8. Cu alte euviate, tm are autoritate asupra unei zone sau unui domeniu si nu foloseste mecanismul de transfer pe zone pentru a pistra o copie curenti a intregii baze de date. Un server de ‘nume numai pentm cache trebuie si ia legitura eu alte servere DNS pentru rezolvarca inigiala a unui nume, dae, ca gi celelalte servere, pisteeaza in memoria cache o list & namelor ezolvate, astfelinc&t nu este nevoit si retransmiti de fiecaze data interogarea cltre un alt server. Acest tip de server este folosit de obicei inte-un segment de reyea conectat x esta fle prnte-o legos mai lens (sau mai seam), pentru a reduce tsafical in zeyea. Tone ZI ‘in multe cazuti, au este eficient ca un singur server si intrefin baza de date pentru un fntreg domeniu. Un server DNS principal poate avea autositate aumsi asupra unei zone din domeniu. Zonele sunt formate prin impistirea domeniului in mai multe subdomenii De exemplu, un server DNS poate avea autoritate asupra zone biz. twoine.coa, in timp ee un alt server roate avea autoritate asupra zonci research.twoine.cor. Ambcle subdomenit exist 'n acelasi domenin: twoine.cox. Totusi, prin impingirea domentului in subdomenii, devine mai simpli nu aumai gestionarea servezelor DNS, ci gi a unitiglor organizagionale sau comerciale individuale deservite de domenil zespectiv. Un srangfr pe zone are loc atunci cand un server DNS secundar ia legitura cv serverul principal al zonei respective si descoperi ck trebuie si objini modificdrile efectnate ia bxza de date, Aceasti decizie este luath pe baza numerelor de sesie confinute in baza de date. Dacit serverul secundat ate un numir de serie mai mic, este transferath etre acesta 0 now copie a bazei de date, i52 PARTEAI Sa toflegem frewal-une gl secuntatea Tn ntemet Fisierele din baza de date DNS Existl patra sipusi principale de fisiere folosite de servercle DNS. in cele mai multe ema tri er es eves os eee | aceste fisire. Uncle servere DNS mai noi, cum ar fi Microsoft DNS Server, oferi 0 interfapi prafick pentru adugarea sau modificarea informasilor in isferele DNS. Figierele de bazk sue | Figierul bazei de date — Acesta este figieral in care sunt stocate inregistrisile de | zesusse pentra zonele cate intl in zesponsabiltacea serverului DNS. Prima incegistage din acest figir este inregistrarea SOA (Start of Authority) | Figierul de cache — Acest fisier congine informayii referitoare !a alte servere de nume | ce pot & folosite pentru rezolvarea interogisilor din afara 2onei sau domeniului care iatsA in responsabiltatea serverulti DNS. Figierul de ciutare inversi — Acest isir este folosit pentru a farniza un nume de {gezdi unui client care nu canoaste decit adzesa IP. Aceasté optiune este wilt pentru | asigurarea securitigi. De exemple, un server Web care primeste 0 cerere dele un client | poste interoga serverul DNS pentru a verifica dact numele de gazd& al clientalui | associat cu adtesa IP este corect. inregistrari de resurse De obicei, bazele de date DNS sunt formate din fisiere de text ASCII continind tegistetd ce pot fi foloste pentru transformatea noi nuime tnt-o adest IP. Exist mal | multe tipud de inzegistrici ce pot fi folosite in bazele de date, fiecare reprezentind un | anumit tip de resurse, cum ar fi numele de gazd& al unui calculator sau numele unui server de posti electronica. Pentra teprezenates unui aume de domenis in DNS este flout o sintext specifica Pentru descrierea acestei sintaxe, in documentul RFC 1035, ,.Nume de domenii — implementare $i specificagii“! este folosit termenul ,,eticheti* (label). O cticheti este formati dintr-un camp de lungime (length field) cu dimensiunea de un octet, urmat de un cmp de date. Clmpul de lingime indled numirul de caracere dia edmpul de date. Numnele une domenta ese reprecentat print sei de euchetepinrega ice formes numcle domeniuil se termind cu un eimp de hungime eu valoarea zero. De exemplo, gues 2.6 prezind organizara une! seal de etchetefolosie pentru defiicea domeninal cu maneic ira, twonto.com FIGURA 2.6 LUNGIME —LUNGIME LUNGIME terminator DNS folosegte oseio deetcnetepervwa [4] Z] 1] 8] a] 6] t]wlo] 1] n] c] a] clo|mjo roprezonta un name unui domenv, C17 eg ———— Desi girul de caractere are numai 13 caractere, excluzand punctele, este reprezentatin baza de date pe 17 octet, din cauza cimpusilor de lungime si a terminatorului, Pentre a evita "in ong, ,Domain Names ~ Implementation and Specification (asta) CAPITOLUL 2 Introducere n sutade protocoale TOPAP 83 sepetarea numelor de domenii folosite freevent ia baza de date, poate fi utlizetk 0 fnregistrare pointer. Formatul general folosit pentru inregistrisile de resurse confine urmftoarele eimpurit M Name (Nume) ~ Numele proprictarulu. Acesta este numele domeniului ciruia i aparfine inregist-area, | Type (Tip) ~ Uncimp de doi octey cate precizeazX codul de tip al insegistrii de resuse. 5 Class (Clasi)— Un camp de doi octei care precizen col de cast al Inegit de TTL Un intreg cu sema pe 32 de biti care specifick durata de viagh (time-to-live, sau TIL), Valostes TTL specifick perioads tn eare ponte Gi pistratio inregistrare in cache Inainte de a fi reimprospaeati de Ia sursa care define autoritatea in zona respectivi. O valoare zero arati c% integistrarea respectivi au poate fi pistratd in eache, 1 RDLENGTH - Un ine fri semn pe 16 bi, indicind lungimea ehmpulu de date MURDATA ~ Cimpul de date. Accasti parte a fnsegistrisi > te, Aceas a lareyisciil deserie resursa, Conginutal cAmpului depinde de valorile cimputilor Type si Class. : Cimpal Type indied ipulinzegistrici de resurse. Tabelul 2.7 confine o list a iputilor de Inregistisi,impreuni cu o descriere a modului de folosire a acestora, Tabelul 2:7 Inrgissidoresurse ONS. Tipul inregistrivt Descriove See eee eee ee ee ee A Adresa IP a gazdei AAA Adesa TP a gazdei (pv6) NS Tnvegistasea secverulel de nume (Name Server Record) PIR Pointer eltre o al inregistrare de nume de domeniu 0A Inceputul zonci de autoritate WKS Servicis general cunoseur (Well-Known Scivive) INFO Informagii despre garde MK » Mail Exchanger peneru domeniu MINFO Informagii despre clsuja postal sau lista poytali TT Tncegistrare de dp text pentru informa diverse CNAME, Nume canonic pentru alias In primele imp Juli mele implementix ae serviciului DNS ereu folosite gi alte tipuri de tnsegistriti, De eee gS a Saat ONS cs ae sp dts De Gates de ose electronic) Mail Forvarer (etrinamerea mssjelor de poya tronic), Documental REC 1035 a abrogat alte tei specificag REC: 882, 883 9197 Existh alee patru ipus, considerate experimentale: Pn ae54 PARTEAI Sa njeleger fiewal-orile gi seciritatee in Internat MMB - Nume de domenin pentru cisusa postal electronic MG ~ Membtu al unui grup de post electronica MMR - Numee de domeniu de redenumice in posta electronic NULL ~ laregistrare de resussi vidi fosegistrnrea SOA (Start of Authority) este folositi la incepurul bazei de date pentru dscrietea acesteia. Este folositi in principal de serverele DNS secundare pentru a obfine informayi despre zone. Campurile acestei inregistriri sunt : Mt Numele domeniului ~Numcle domeninla in care si exereitl antoritatea aceasta baz de date WIN - Tipul de clasi pentra Internet. SOA Indicator de tip pentru inregistrarea Start of Authority. ; 1 Server primar —Numcle FQDN al serverului DNS primar pentru acest domeniu, MW Adrest de posta electronic’ — Adresa de e-mail a persoanei care are in responsa- Diltate acest domeniu. Numiar de serie ~ O valoare pe 32 de bifi care specifick numirul de revizuire al purl bere de dt Tate inccnetat de Ricare da end ve ae 0 mediate a bza de date, astfl incit servercle secundare si poath detecta aceastd schimbaze. Frecvenga de reimprospitare — © valoare pe 32 de big utliaati de servercle secundare, Dupi trecerea acestul interval de timp, datele unei inregistrit tebuie vetificate din now in baza de date a serverului primar. 1 Frecvenga de repetare a incercarilor ~ O valoare pe 32 de bit, indicind perioada de ssteptare insinte de a incerca din nou seimprospitares datelor, dup o incereare nereusit. 1 Darata de expirare ~ O valoate pe 32 de big indicfnd interval! maxim de timp tn Chae un server secundar a ebu! hineece eproapiate dtl inaine de aecta si mai prelucreze datele DNS pentru aceasti zon’, Valoarea TTL minima ~ Durata minimd de viagé a nei inregistrii de resurs. ‘Aceasti valoate poate fi suprascrisi de valoarea TTL specificati chiar in inregistrare. ‘Tone valoslle pentru dusate din laregistnrea SOA unt epecifiat in secunde- “Tipal de inregisrare NS poste & folosie peat a preci ch un ale server de mume are avioriate asupra acest subdomenis, De exempla, urmdtoarea Inzegistrare arieh ck Serverul de nume al cieui name de gazdd FQDN este zira.twoine.con este autortatea de In eae pot & obginute informal despre subdomeniul zork.twolac com zork.twoine.con IN NS zéra.tvoine.com Pentru objine adres servrai de nume rire, woine.com este nesesa ofnregitare detip A" ziva.twoine.com IN A 216.65.20.219 . Invegisrisle Ckaue sunt foloste pentru specifcaren psewdonimeor' ce pot 6 uilizate fmpreund eu numele de gazdi, ex in exemplal urmbtor ftp.zira.twoine.con IN CNAME zira.twoine.com 1 fe original, afar sau nickname (n. trad) { CCAPITOLUL 2 Introducere in suta de protocoale TOPIIP_ 55: incegistisle de ep pointer (asa PTR) sunt folosite pentru obtinerea ntumelui asociat cu 0 adresi IP ~ o translatare inversi, De exemplu, inregistrarea urmitoare poate f folositi de 0 interogate pen:ra objinerea numelui acestei garde atunci cind este cunoscutd numal adresa IP: 219.89.65. 218 IN PTR zira.twoine.con Remarcayi, torus, cl adresa IP a fost inversat. inu-o inregistrare de tip pointer, adcesa IP este reprezentath sub forma 219.33,65.216 in loc de 216.65.33.219. Formatul inversal este folosit pentru a permite funcjionarea corespunzitoate a proceduail de clutare dupa cheie fn baza de date. Domenial special este numit IN-ADOR.ARPA. Aceste date sunt folosite atunci cind un server trebuie si caute in baza de date un nume de guzdi corespunzitor une adrese din domeni Jn general, cAmpul Class ate valoatea 14, prescurtarea de la Internet. Valoarea numeric a acestul cod este 4. Pe lingi acest tip de clasi, puteyi intilni valoarea ¢8, care este prescurtarea de le vechea clasi CSNET. Codul ch este prescurtareaclasei CHAOS, iar Codhl #8 este prescurtarea de la clase Hesiod. Protocolul SMTP (Simple Mail Transfer Protocol) Acest protocol reprezinti baza pentru toate mesajele de posti electronict pe care le trimites prin Internet. Dintre toate servicille oferite de Inteznet, acesta este unul dintre cele mai utlizae si, de asemenes, unul dintre cele mai des atacate. Programe inigiale utlizate pentru SMTP erau foarte mari si complexe, asfel ef aveau numetoase probleme de securitate. Una dintre cele mai evidente probleme este capacitatea de a flsifica adresa cxpeditorului. Dack un hacker vi poate face si deschideg wn figice atasat unui mesaj de post electronic’ doar pentra cl aveti impresia cl stipi expeditorul si avefi incredere in acesta, putefi s4 introduce! in sistemul dumneavossirl un virus sau un alt progeam generator de probleme. Vex > Ln capitol 6, , Utiligarea une gaze bastion", la pagina 131, vf gl edtena mutode care pot fi ‘late pent wimphonenta tun od Sgr nse de poy eecroncd Iter penta rifeaia imncavoasrl x Par nin Atita vreme cit exist vinusi de calculator si alte programe diunttoare, nu veji putea rezolvati aceste probleme folosind un firewall. Dack dori avegi un sistem de posth electronic’ ia reyea cu acces din exterior, webuie s8 vi lui misuri de prevedere suplimentare. Ar srebui si utllzasi un program bun, actulizat regulat de producitor, pentru a cluta a identifica sia distruge acestetipati de programe. Utilitarele r Servicile Berkeley r au fost proiectate pentru a simplifica o serie de actvitisi executate in ‘mod obignuit intro rejea. Ele sunt denumite utilitare r deoarece fiecare atilitar din accastt categorie este folosit pentra actiuni de la distangi si numele fiecirula incepe cu cuvancul femote™. Utitarele r de bazk sunt urmitosrele:56 PARTEAI Sé njelegom frewalluile gi securtatea tn Intemet W Hlogin Similar cu Telnet, inst mai pugin complex, acest utlitar vi permite si vi {Ia un sistem situat a distang sisi ii ulizag seral de comenzi pentru a efectua ca si cum ati afla in fata acelui calculator. W rsh Acest utltar vi permite si executagi comenzi pe un sistem aflat a distant W rep Acest utlitar este similar cu FTP prin faptul ci poate fi utilizat pentru a copia fisiere intre sistemele dinte-o rejea. W rwho Acestutlitar rolea7i ca un proces demon pe un sistem situa I distangi pentnt 1 aduna informa despre utlizatosii din refeaua de la distang WM ruptime Acest utiitarafiseazi o listé de calculatoare din rejeaua aflati la distanga si informagi despre acestea, cum ar fi aumirul de utlizatosi si perioada de functionace a sistemolui de la pornire. Mi rexec Acesta este un utilitar mai vechi si poate fi utilizat pentru a executa comenai pe tun sistem situat la distangi. Numele acestor comenzi vi sugereazi ci ele sunt utile, nu-i aja? Cu toate acestea, ele pot fi foarte periculoase nu numai cind sunt utlizate printr-un firewall, ci chiar atunci cind sunt utilizate in rejeaua dumneavoastel locali. Aceasta se datoredzi in principal metodei folosite pentru autentificarea utilizatoralui aflat la distanfi cate intsebuingeazt utiltaral r. Utiizatorul nu trebuie si specifice un nume de utlizator sau o paroli atunci cind foloseste un utiltar r, Pe sistemul sisuat Ia distangi existl dout fisere caze pot fi uilizate pentru & permite accesul la sistem. Acestea sunt fisierele host .equiv si .rhosts, Fisierul host ,equiv congine o listl de sisteme aflate la distangi clrora li se va permite accesul pe acel calculator, Administratorul de sistem rispunde de intrefinerea acestui fisier, la fel eum procedeaza cu fisicrul de parole. Prin plasarea in acest figicr doar a pumélor de guzdi, corespunzitonre unor sisteme sigute, af putea crede ci suntefi protejat. insi ar trebui si Ioagi tn calcul ceea ce poate rezulia cu adevrat de aici Prin plasarea ‘sumelui unui sistem situa la distanpl fn acest fsier, deventi vulnerabil la un atac in enzul fn care oricare dintre acele sisteme aflate la distangS ar ff compzomis! Dack un hacker pitrunde intr-un anumit calculator, el va avea acces la toate celelaltesisteme in care acest calculator are ineredere prin fiscrul host equiv! Din nefericire, poate fi si mai riu, Fisirul .rhosts nu se af sub controlu! administra- torului de sistem, Acest fsier se giseste in directorul de bazi al unui utilizator sila fel ea fisierul host .equtv, congine numele unor sisteme sigure, situate la distanga. in acest fisier .rhosts, numele de sistem este urmat de oumele de utlizatosi, $i sumai acclor utlizatori le este permis accesul — acelasi tip de acces pe care utilizatoral il are pe sistemul local. Dupt cum putefi vedea, au este nevoie decit de un utilizator needueat (sau supirat) entra a rea o bres de securitate in sistemul dumneavoastel Nu folosigi utiitarele r prin firewall. Dezactivatile. Dack vefi permite utlizarea lor ta rejeaua Jocall, ar trebui si verficati regulat fgiercle host equiv si.rhosts pentru a vi asigura ci au sunt folosite in mod abuziv. CAPITOLUL 2 introducere in suite de protecoale TCP/IP 87 Alte servicii de retea Acest capitol au a prezentat decit serviciile TCP/IP de bazS, care existi si sunt utilzate de ‘mai molt timp. fast sunt dezvoltate si alte protocoale gi servicli si vey semarca zilnie noutigl in accasti privings, De exemplu, Would Wide Web uilizeazi protocolal HTTP pentru a ransfera pagini Web citre browserul dumneavoastr. ReslAudio este un serviciu aie poate pesnite caleulatoruful damneavoastras& foneyioneze ca un telefon sau ea un apetat de radio, Nu este scopul acestei cir si detaieze sutele de servicii disponibile. Trebuie accentuat din nou faptul ef atunci cind proiectati Srewall-ul, ar trebui si dezactivagi toate serviciile si protocoalele gi apoi si le activayi doar pe cele de care avefi nevoie. Accasta vi va ajuta si vi protejag impotriva noilor protocoale gi servici. fnainte de a incepe si ingeleges! modal in care un firewall v4 protejenzl refeaus,indiferent ack este vorba de an filtra de pachete sau de un server intermediar, trebuie sé ingelegeti foare bine modul ce funcjionare a suitei TCP/IP si a serviciilor pe care le poate oferi Atunci cind uilizotii vi spun ci au nevoie de un serviciu sau alsul, sau cf trebuie foloseascA un anumit protocol, ar trebui si figi capabil si discutagi cu ei intr-o maniesi sagionald sisi vi aptragi politica de firewall. Daci este necesae, putef si utiliza oricind un calculator independent cu conexiune proprie le Internet pentru a pune la dispozitiesecvili cn adevisat periculoase. in capitolele urmatoare, veri studia cdteva dintre problemele de secusitate pe cate le pot provoca unele protocoale ji sezvieli De asemenea, vedi analiza citeva metode de implementare a unui firewall pentru a face ca utilizarea acestora si fie ceva mai siguek,Copitolul 3 Securitate si Internet Retele LAN si WAN © Securitatea intr-o refea localé de calculatoare + Securitatea intr-o rejea de mare suprafa Retele LAN si WAN Cea mai mate difereng dintre secoritatea into rejealocalé de calulatone sitre-o zefea de mace suprafaf, cam ar fi Interne, este controll. Int-o efea LAN, administraroral de rejea ($1 posiil uni administratos de sistem) poate #4 exercte un control foarte bun supa cilculatoarelor gard din rejea si asupra operapilo si gestion reel, Atunci ind o Fetea local este conectati la kncernet, deveni pare a une! interconesitni lt mai fusi de see asupta clrora avi foaste putin conttol sau chiar deloc. Datozit acest fap, problemele de securtae care pot intinie intro rejea LAN obigauitd sunt minore in comparafe cu cele care pot apirea din Internet. Un motiv este numiral imens de ealelatoate care fee parte din Iotemet. Acom stu mai este nevole ea un inffactor sh inte In camera ealelatorlu gi apot in calculator. Nu mai teste necesar ea un hacker si incerce in mod repetat sf pitrondi in rejeava dumacavoastk trecind peste secuttatea modemulu. In Intemet, un atacstor poate sk vink practic din fice parte a globului pentra a incereaaceate smecheri. Securitatea intr-o refea localii de calculatoare Ineo rejea locals, sti ce protocoale sunt ulate s pues sk configura monitorizara gi audiaged ast facie st urmarg abusurle. Chine i intro rejea mace de compen, instramentle bazte pe protocolul SNMP (Simple Network Management Protoco) sa RMON oferi un control centaias gi unresc secorkates Ce este RON? [AMON este acronimul expresiel Remote Monitoring (Montoizare dela distant). RMON este un Instrument Ge colactare gi analiz8 a datelar, ul pentru monitorizaree dela cistanfé a componentelor rele, cum arf caleulatoae, rutra, comutatoareg! alte dispozlve de relea. Funcjonalitateainstrumentului AMO} teste deseris in documantele RFC 1813 gi 1757, extinde capabiittle de monitorizare puse la cispoate de protocolal SNMP. CAPITOLUL 3 Securiate Internet 59 Autentificarea utilizatorilor Forma de bazi de securtatefolositi Ints-o eyea local de caleulatoare este contal si parola de utlzator. Chad aceasti metodi este implementatdintr-un mod sigur, flecare utilizacor care acceseazi rejeava are un sume de cont nie (cau nume de uslizator), aeibuit de administrator de refea, so parol8 care in mod waual se afi sub propriul control. Aceasti fori de autentifiare provine de la primele caleulatoaze independente (care mi erat legate in reea) pe care eulau sisteme de operare mulsutlzator. Numele de utlizator unie permitea sstemuluide operare si ink evidengautllzatorlor conecta la calculator, ceea ce Acca posibili acordasea de dreptus 5 privileai diferite uiizatoritor, in Functie de nevoile ficciniia. Administetoral care crea contol de urilizator crea io parol iniialt. inst exa esponsabilitatea uilizatorului si schimbe acea parold inigala cu 0 expresie grew de dlescopesit. De ascmenes, ere responsabiltatea wilizatonalai s& protejeze parola astfel Jncit si nu fe cunoscuti de nimeni altcineva. Cand acest ip de autentificare este integrst in tehnologile ejelelor locale de calculatoare, poate deveni pusin mai complicat. Cand este vorba de ua singur caleulator, este ujor de lntreyinuc o singuek baza de dace sigusa, care memoreazk numele de utilizaton gi parolele pe cate sistemul de operare le poate utiliza pentru a veriicautlizatosi, Cind sunt legate in sejea mai multe fn uncle sisteme de operare, cum ar i UNIX, fccarecaleulatos din sejeaaze propeia basi de date cu parole ~fsiral /eto/ passud. Aces sir memoreaxi numele de utlizator i parolee, {mpreunt cu alte informagi peninente despre contal utiizatoruk. Cu toate & acest ise este un simple fiser tex: care poate fi pict sf analiza, simAne relativ sigur, deoarece parole srocate in figier sunt criptate. Aceastainscamnd ck ssteml este sigur daci aves incredere in uilizatodi din reyeaxa dumneavoastri. Programe com at 6 Crack pot & udlizate pence a descoperi valosile acestor parole exiptate, atfl c$, dupa cum probabil deducey, accastt rmetodi de autensifcare sigur last de dost atunci cind vi conectay Je Internet. Ar trebui si fie evident de la Inceput cl aceasti metodi de utlizare a unor baze de date de secusitatedifeite pentru fiecare calculator din setenaze propre dezavantaje, De exemple, 0 politica bund de sceusitate spane ef utiizatoral tebuie si isi schimbe parola dupi ce sceaste 2 foot utiliza mai mult timp. Dacf utiliatoeul trcbuie sk accesere nesurse de pe mai multe calculatoace din rejeaua LAN, trebuie si iyi schimbe parcla pe mai multe caleulatoute atunci sind vine vremea sh fach o schimbare. latoare, unde sunt plasate aceste informagii de securitate? Uitiarea unl sir de parole ascuns| ‘Ometocé de inbundtte a secur paroolor mamorateuzvalln fer J eto / passwd este da foo un figlor ‘parole ascuns, caren. poate cit deorine. Suda dooumentafaversini de UNIX cuca lua penrva ata (ack acoasl caraceist:8 este dspenib Snerniareafigerelorde parole Di ssoms UNIX aol mule component iepree pentuluutn ren, Apsgta oma de Scania ‘srr dparclremal mute seme dare, indore WncowsNT-unl sada meses aural de cortoler de comer contaesa cone viata deri respect In UN, fear sever a8 prot sede paral, ae utzerver ae conetezale mal molestie cn rej, rebue sab tun corte care stam, Perez aes devi, na Sun ott oapicyeGenumia Yelon Page,