You are on page 1of 50

Securitatea reţelei

Securitatea reţelei
Ultimele decenii s-au caracterizat
printr-o explozie informaţională fără
precedent, fapt ce a condus la
creşterea importanţei resurselor de
comunicaţie.

Schimbul de informaţii reprezintă


motivaţia existenţei reţelelor de
calculatoare interconectate, în
cadrul cărora se detaşează mediul
de reţele extrem de complex
constituit de Internet.
Securitatea reţelei
Mediul Internet este eterogen, nu
este proprietatea unui guvern, a unei
companii sau universităţi, nu este o
singură reţea, ci un grup de reţele
aranjate din punct de vedere logic
într-o ierarhie, nu constituie o
componentă software sau hardware
de sine stătătoare şi este utilizat
zilnic de oameni de toate
specializările şi interesele
imaginabile.
Securitatea reţelei
Internetul permite interconectarea
calculatoarelor indiferent de platformă.
Acest lucru a devenit posibil prin faptul
că s-au stabilit o serie de reguli privind
comunicaţia între calculatoare sub forma
protocoalelor. Aceste protocoale definesc
modul de lucru al aplicaţiilor pentru a se
face înţelese între ele.
Internetul se bazează pe o colecţie de
protocoale reunite sub denumirea
TCP/IP. Suita TCP/IP este constituită
dintr-o mulţime de protocoale, fiecare
dintre ele asigurând transferul datelor în
reţea într-un format diferit şi cu opţiuni
diferite.
Securitatea reţelei
Internetul reprezintă în momentul de
faţă o reţea globală a cărei dimensiune
este extinsă la mărimea planetei noastre
şi cuprinde o cantitate foarte mare de
resurse logice, fizice şi informaţionale.

Iniţial, Internetul era compus din staţii a


căror utilizatori se cunoşteau între ei şi
între care se stabileau legături bazate pe
anumite reguli de conduită. Pe lângă
multiplele avantaje, dezvoltarea continuă
a Internetului a determinat o serie de
probleme legate de securitate.
Securitatea reţelei
Din acest motiv, sistemele
informatice ale companiilor au fost
protejate astfel încât foarte puţine
persoane să poată avea acces la
acestea.

Beneficiile în planul securităţii au


fost evidente însă restrângerea
accesului a atras după sine
excluderea posibilităţilor de a
comunica liber cu exteriorul.
Securitatea reţelei
Sistemele deschise elimină aceste
neajunsuri prin utilizarea Intranetului şi a
Internetului. Avantajele sunt în planul
deschiderii companiei către angajaţi,
clienţi, parteneri, furnizori. Intranetul
permite tuturor angajaţilor, indiferent de
localizarea acestora, să aibă acces la
informaţiile companiei. O parte a
respectivelor informaţii pot fi puse şi la
dispoziţia partenerilor de afaceri prin
conectarea la Internet. Această
deschidere către angajaţi şi către
partenerii de afaceri atrage după sine şi
o serie de riscuri în planul securităţii.
Securitatea reţelei
Pentru reducerea riscurilor privind
securitatea informaţiilor (menţinerea
confidenţialităţii) şi prevenirea accesului
neautorizat, conectarea diverselor sedii şi
birouri ale unei companii prin intermediul
Internetului se realizează prin folosirea
unei reţele virtuale private (VPN – Virtual
Private Network). Construcţia unei astfel
de reţele virtuale private înseamnă
folosirea Internet-ului ca pe o reţea WAN
(Wide Area Network – reţea de arie largă)
care atrage după sine reducerea
semnificativă a costurilor.
Securitatea reţelei
Cea mai utilizată modalitate de
protejare a reţelei interne o
constituie folosirea unui zid de
protecţie (firewall) între Intranet şi
Internet. Un zid de protecţie trebuie
să analizeze tot traficul ce se
desfăşoară între reţeaua externă şi
utilizatorii interni, în ambele direcţii.
În felul acesta se realizează filtrarea
pachetelor pe baza politicii de
securitate care este definită la
nivelul sistemului.
Securitatea reţelei

Intranet Firewall Internet

Reţea privată Reţea publică


Securitatea reţelei
Firewall-ul trebuie să reziste atacurilor
maliţioase din exterior şi interior deoarece
întreaga reţea poate fi compromisă dacă o
persoana rău intenţionată preia controlul
zidului de protecţie.

Mai mult decât atât, firewall-ul trebuie să


fie în măsură să ascundă de reţeaua
externă adresele reale ale staţiilor din
Intranet. Toate aceste servicii trebuie să
fie puse la dispoziţia utilizatorilor reţelei
fără ca traficul să fie perturbat sau
ştrangulat din cauza existenţei zidului de
securitate.
Securitatea reţelei

Pentru a conecta două sedii


ale undei companii se poate
utiliza un tunel de siguranţă
la nivelul reţelei virtuale
private.
Securitatea reţelei
O politică de securitate la nivelul unei
companii include următoarele niveluri:
– existenţa unui zid de securitate (firewall)
pentru asigurarea unei conexiuni sigure
la Internet;
– criptarea datelor si transmiterea
acestora printr-un tunel de securitate pe
Internet prin crearea unei reţele virtuale
private;
– implementarea unor mecanisme de
securitate la nivelul aplicaţiilor.

În funcţie de specificul datelor vehiculate


şi de importanţa acestora, o companie
poate decide să implementeze numai
anumite niveluri de securitate sau chiar
pe toate.
Securitatea reţelei
În ziua de astăzi, în condiţiile în care
milioane de oameni folosesc Internetul
pentru plata taxelor, cumpărături sau
operaţiuni bancare, securitatea reţelei
apare ca o mare problemă potenţială.
Statisticile arată că majoritatea
problemelor legate de securitate sunt
cauzate deliberat de către persoane rău
intenţionate care încearcă să provoace
neplăceri sau să obţină anumite avantaje şi
beneficii.
Securitatea reţelei
Intruşii sunt de două categorii,
după cum urmează:
– intruşi pasivi – sunt cei care se
limitează la a asculta mesajele
schimbate în cadrul reţelei;
– intruşi activi – aceştia nu numai că
ascultă mesajele, dar şi intervin
asupra acestora modificându-le.
Securitatea reţelei
Problemele de securitate pot fi
împărţite în patru mari domenii
care sunt interconectate:
– confidenţialitatea – presupune
păstrarea informaţiei departe de
utilizatorii neautorizaţi. Este
primul aspect care este luat în
discuţie atunci când se discută
despre securitatea unei reţele;
Securitatea reţelei
- autentificarea – stabilirea
identităţii interlocutorului înainte
de a dezvălui informaţii
importante;
- nerepudierea – se referă la
semnături şi la modul în care se
poate proba că o anumită
comandă a fost făcută în
condiţiile înregistrate în sistem,
indiferent de faptul că
respectivul client susţine
altceva;
Securitatea reţelei
- controlul integrităţii – se
referă la posibilitatea de a
verifica dacă un mesaj a fost
primit exact în forma în care
a fost transmis fără să fi fost
modificat pe parcursul
traseului de către persoane
rău intenţionate.
Securitatea reţelei
Mecanismele de securitate pot fi
implementate la mai multe niveluri,
fiecare nivel având o anumită
contribuţie la securitatea reţelei:
– nivelul fizic – în cadrul sistemelor
militare, ascultarea firelor este
împiedicată prin includerea acestora în
tuburi sigilate conţinând gaz de argon la
presiuni înalte. Penetrarea tubului va
conduce la pierderi de gaz urmate de
scăderea presiunii ceea ce va declanşa
alarma;
Securitatea reţelei
- nivelul legătură de date –
pachetele trimise de la o
maşină la alta prin
intermediul unei linii punct-
la-punct pot fi
codificate/decodificate de
către fiecare computer în
parte. Acest mecanism
poartă numele de criptarea
legăturii;
Securitatea reţelei
– nivelul reţea – se pot instala ziduri
de protecţie (firewall-uri) pentru a
respinge atacurile asupra reţelei şi
pentru a filtra mesajele care intră
sau ies din reţeaua privată;
– nivelul transport – se poate opta
pentru criptarea unor conexiuni în
întregime;
– nivelul aplicaţie – implementează
de regulă soluţii la problema
autentificării şi la cea a
nerepudierii.
Securitatea reţelei
Codificarea şi decodificarea informaţiilor
se realizează pe baza unor chei. Pentru a
decodifica un mesaj este nevoie să se
cunoască cheia cu care acesta a fost
codificat.

Cel mai adesea sunt folosite două chei


atunci când se codifică un mesaj:
– cheia publică – este cea cunoscută în mod
public;
– cheia privată – cunoscută doar de cel care
codifică sau decodifică mesajul.
Securitatea reţelei

Arta de a sparge coduri se


numeşte criptanaliză,
crearea cifrurilor este
cunoscută ca criptografie iar
ambele operaţii sunt
cunoscute sub numele
generic de criptologie.
Securitatea reţelei
Revenind la Internet, cheile de
criptare şi de decriptare pot fi
falsificate şi din acest motiv sunt
folosite metode de certificare a
acestora.

Una dintre aceste metode de


certificare presupune folosirea unui
certificate digital prin care se poate
verifica că o anumită cheie publică
aparţine într-adevăr unei anumite
persoane sau companii. Certificatele
digitale sunt eliberate de instituţii
specializate denumite autorităţi de
certificare.
Securitatea reţelei
Un certificate digital este compus din
următoarele elemente:
– numărul serial al certificatului;
– detalii despre algoritmul de criptare
folosit;
– informaţii legate de identitate;
– cheia publică a expeditorului;
– semnătura digitală a autorităţii de
certificare emitente
Securitatea reţelei
Certificatul digital confirmă identitatea
utilizatorului şi semnătura acestuia.
Pentru certificare, cheia publică a unui
utilizator este înregistrată de către
autoritatea de certificare într-o bază de
date foarte bine protejată.

După înregistrare, autoritatea de


certificare va transmite un certificat
digital oricui doreşte să verifice
autenticitatea cheii publice a
utilizatorului.
Securitatea reţelei

Cheia publică a lui X Autoritatea de certificare Certificatul lui X


Securitatea reţelei
De multe ori schimbul securizat de
documente pe WEB se face prin stabilirea
unei conexiuni de tip SSL.

Protocolul SSL (Secure Socket Layer)


foloseşte certificate digitale pentru a
verifica identitatea serverului WEB al
companiei. Transmiterea securizată a
datelor pe Internet este realizată cu
ajutorul metodelor de criptare.
Securitatea reţelei
Protocolul SSL a fost dezvoltat de
către compania Netscape iar în
momentul de faţă acesta este o
componentă standard pentru
majoritatea browserelor şi a
serverelor WEB.

Utilizatorul se identifică prin


furnizarea pe WEB server a unui
nume de utilizator însoţit de o parolă.
Conexiunea SSL realizează şi
criptarea parolei pentru asigurarea
confidenţialităţii.
Securitatea reţelei
Printre caracteristicile protocolului
SSL putem enumera:
– SSL permite autentificarea serverului
(oferă clientului certitudinea identităţii
serverului) şi a clientului. În plus,
datorită codificării acestora, SSL
asigură confidenţialitatea datelor.
Autentificarea se realizează prin
utilizarea certificatelor şi semnăturilor
digitale;
– SSL foloseşte algoritmi diferiţi pentru
criptare, autentificare şi pentru
asigurarea integrităţii datelor;
– Stratul SSL se află între protocolul
TCP/IP şi cele ale nivelului aplicaţie
Securitatea reţelei

HTTP FTP SMTP

SSL

TCP

IP
Securitatea reţelei
Stabilirea unei conexiuni
sigure între navigatorul WEB şi
server se realizează într-un
număr de patru paşi:
– Iniţierea protocolului SSL –
clientul trimite un mesaj
serverului iar acesta
răspunde prin furnizarea
certificatului digital pe care
clientul îl poate folosi pentru
a stabili identitatea
serverului;
Securitatea reţelei
Acceptarea clientului – navigatorul
(browserul), după ce a identificat
serverul cu care comunică, va genera
două chei private care vor fi folosite
pentru tranzacţia ce urmează.

Aceste chei private vor fi criptate


folosind cheia publică primită de la
server. Acesta din urmă va decripta
cele două chei, fiecare parte având în
acest moment respectivele chei.

Valabilitatea acestora este la nivel de


sesiune, din acest motiv ele se mai
numesc şi chei de sesiune. Când
sesiunea se încheie, cheile respective
sunt şterse;
Securitatea reţelei
Verificarea – presupune trimiterea
unui mesaj securizat către
server. Criptarea mesajului este
realizată folosind una din cheile
de sesiune. Serverul răspunde tot
printr-un mesaj criptat, folosind
cea de-a doua cheie de sesiune.
Dacă tot acest mecanism se
derulează corect, atunci putem
afirma că legătura sigură este
stabilită şi tranzacţia poate să
înceapă;
Securitatea reţelei
Schimbul de date – protocolul SSL
este optimizat astfel încât
criptarea şi decriptarea cheii
publice este necesară o singură
dată pe sesiune.
Securitatea reţelei

Internet bankingul facilitează


interacţiunea prin intermediul
Internetului dintre un client şi
banca la care acesta are unul
sau mai multe conturi. Pentru
acesta, clientul va trebui să
furnizeze un nume de utilizator
şi o parolă către un anumit
calculator al băncii care este
conectat la Internet.
Securitatea reţelei

Clientul va avea acces la o serie de


informaţii legate de conturile sale
de la respectiva bancă (solduri la o
anumită dată, desfăşurător al
tranzacţiilor desfăşurate într-o
anumită perioadă) prin simpla
utilizare a Internetului. Mai mult
decât atât, acesta va putea efectua
o serie de operaţiuni bancare din
faţa calculatorului, fără a mai fi
necesar să se deplaseze la sediul
băncii (transfer de fonduri, plată
facturi furnizori, etc.).
Securitatea reţelei
O cerinţă fundamentală a tranzacţiilor
bancare desfăşurate pe Internet este
aceea a securităţii informaţiilor.
Informaţiile schimbate între două
calculatoare din Internet sunt supuse
următoarelor categorii de riscuri:
– interceptarea – conversaţia poate fi
interceptată de o terţă persoană;
– manipularea – datele din cadrul unei
conversaţii private pot fi modificate pe
traseul parcurs de la sursă la
destinaţie;
– depersonalizarea – presupune
declinarea sau atribuirea unei false
identităţi.
Securitatea reţelei
Toate aceste riscuri legate de securitate sunt
tratate de către navigatoarele curente prin
intermediul protocolului SSL care impune
paşii pe care trebuie să-i urmeze
calculatoarele implicate într-o conversaţie
pentru a asigura securitatea comunicaţiilor.
Aceste reguli se referă la confidenţialitate,
autentificare, nerepudiere şi controlul
integrităţii.

Pentru criptare şi autentificare, SSL foloseşte


tehnologii dezvoltate de RSA Data Security.
Criptarea se realizează la nivel de sesiune,
deci ea nu va fi repetată pentru fiecare
conexiune în parte. Cheile folosite pot fi pe
40, 128, 256 sau 512 biţi. Cu cât cheia are o
lungime mai mare, cu atât timpul necesar
spargerii ei creşte exponenţial.
Securitatea reţelei
Datorită faptului că protocolul SSL se
află sub stratul protocoalelor nivelului
aplicaţie (HTTP, SMTP, FTP) dar
deasupra nivelului transport pe care se
situează protocolul TCP/IP, acesta
poate opera independent de
protocoalele aplicaţiilor Internet. SSL
este utilizat atât de aplicaţie client cât
şi de cea de pe server, astfel încât
transmiterea datelor prin Internet se
face în manieră criptată şi se consideră
că acestea ajung în siguranţă la
serverul dorit şi numai la acesta.
Securitatea reţelei
O sesiune bancară este iniţiată prin
conectarea unui client, folosind protocolul
SSL, la serverul băncii prin furnizarea unui
nume de utilizator şi a unei parole. Dacă
informaţiile respective sunt corecte,
serverul va autentifica clientul şi va iniţia
sesiunea de criptare.

Rolul sesiunii de criptare este de a proteja


şi securiza informaţiile schimbate între
client şi serverul băncii. Acesta din urmă
foloseşte protocoale interne pentru a
comunica cu programul de tranzacţionare
electronică. Aceste protocoale interne
previn accesul neautorizat la informaţiile
legate de clienţi şi de conturile acestora.
Securitatea reţelei
Între serverul din Internet şi calculatorul care
găzduieşte programul de tranzacţionare
electronică (serverul de tranzacţionare) sunt
interpuse firewall-uri şi rutere de filtrare în scopul
de a separa reţeaua internă a băncii de Internet:

– ruterele de filtrare au rolul de verifica, pentru


fiecare pachet, sursa şi destinaţia acestuia şi
de a decide dacă pachetul va fi lăsat să intre
în reţeaua băncii sau va fi respins. Orice
pachet care nu este direcţionat către un
serviciu specific va fi respins de către ruterele
de filtrare. În plus, acestea asigură şi
protecţia reţelei în cazul unor atacuri Internet
clasice;

– firewall-urile separă reţeaua internă a băncii


de serverul de tranzacţionare electronică
situat în Internet. Datele schimbate între
client şi server sunt criptate înainte de a fi
transmise.
Securitatea reţelei
Prin folosirea unui formular securizat aflat
la o adresă de forma https:// se pot
transmite în siguranţă informaţii
confidenţiale (cum ar fi numărul cărţii de
credit şi codul acesteia de securitate,
numele de utilizator, parola), fără a exista
pericolul ca acestea să fie interceptate de
terţe persoane.

Înainte de a iniţia o tranzacţie pe Internet


va trebui să avem încredere în
administratorul serverului la care ne
conectăm. SSL protejează informaţiile pe
traseul de la client către server, dar nu ne
poate proteja împotriva unor persoane rău
intenţionate.
Securitatea reţelei
Prin folosirea unui formular securizat aflat
la o adresă de forma https:// se pot
transmite în siguranţă informaţii
confidenţiale (cum ar fi numărul cărţii de
credit şi codul acesteia de securitate,
numele de utilizator, parola), fără a exista
pericolul ca acestea să fie interceptate de
terţe persoane.

Înainte de a iniţia o tranzacţie pe Internet


va trebui să avem încredere în
administratorul serverului la care ne
conectăm. SSL protejează informaţiile pe
traseul de la client către server, dar nu ne
poate proteja împotriva unor persoane rău
intenţionate.
Securitatea reţelei
Securitatea unui model de tranzacţionare pe
Internet trebuie să cuprindă cinci nivele de
bază. Server pe care
este stocată
baza de date

firewall firewall firewall

Client Server WEB Server de


situat în aflat în tranzacţionare
Internet Internet situat în Intranet

Staţii de
lucru în
Intranet
Securitatea reţelei
1. asigurarea securităţii
informaţiilor provenite de la
clienţi în momentul în care
acestea sunt transmise de
la calculatorul clientului
către serverul WEB al
băncii. Securitatea datelor
transmise de navigatorul
clientului către serverul
băncii este asigurată cu
ajutorul protocolului SSL;
Securitatea reţelei
2. securitatea serverului WEB al
băncii – acesta se află plasat în
spatele unui zid de protecţie şi
utilizează protocolul SSL pentru
a comunica cu calculatoarele
clienţilor. Navigatorul de pe
calculatorului clientului nu
poate accesa decât acest
server din cadrul reţelei
bancare;
Securitatea reţelei
3. securitatea serverului de Internet
banking – presupune direcţionarea în
deplină siguranţă a cererilor primite
de serverul WEB către serverul de
tranzacţionare. Serverul WEB este
singurul proces care poate comunica
prin intermediul zidului de protecţie cu
serverul de tranzacţionare pe care
rulează aplicaţia de Internet banking;
Securitatea reţelei
4. securitatea bazei de date ce conţine
informaţii legate de clienţi şi de conturile
acestora. Baza de date va fi accesată de
către serverul de tranzacţionare şi de
către staţiile de lucru din reţeaua internă.
Baza de date implementează
mecanismele de securitate de la nivelul
sistemului de operare folosit combinate
cu cele de la nivelul firewall-ului.
Securitatea reţelei
5. securitatea reţelei interne a băncii
care este situată în Intranet

De cele mai multe ori pe fiecare


nivel este amplasat un monitor de
securitate care reprezintă un
program special care analizează
încercările de conectare eşuate şi
poate recunoaşte eşecurile
provenite în urma unei încercări
de a accesa anumite resurse de
către o persoană neautorizată.