STUDIU DE CAZ „Realizarea efectivă a

unui sistem de securitate”

Proiectarea unui sistem de securitate

Pentru a proiecta şi implementa un sistem integrat de securitate al unei reţele,
trebuie parcurse următoarele etape:

1. Este necesar, mai întâi, să identificăm toate ameninţările împotriva cărora este
cerută protecţia. Acest proces este unul de analiză şi care constă în 3 sub-etape:

 analiza vulnerabilităţilor, adică identificarea elementelor potenţial slabe

ale reţelei;
 evaluarea ameninţărilor, adică determinarea problemelor care pot apărea
datorită elementelor slabe ale reţelei;
 analiza riscurilor, adică a posibilelor consecinţe pe care aceste probleme le
pot crea.

Rezultatul acestei faze de analiză îl constituie cerinţele de securitate ale reţelei.

2. Următoarea etapă constă în definirea politicii de securitate, ceea ce înseamnă

să se decidă:

 care ameninţări trebuie eliminate şi care se pot tolera;

 care resurse trebuie protejate şi la ce nivel;
 cu ce mijloace poate fi implementată securitatea;
 care este preţul măsurilor de securitate care poate fi acceptat.

3. Odată stabilite obiectivele politicii de securitate, următoarea etapă constă în

selecţia serviciilor de securitate. Acestea sunt funcţii individuale, care sporesc
securitatea reţelei. Fiecare serviciu poate fi implementat prin metode variate,
numite mecanisme de securitate. Pentru implementarea şi utilizarea eficientă a
mecanismelor de securitate, este nevoie de o sumă de activităţi numite funcţii
de gestiune a securităţii. Gestiunea securităţii într-o reţea constă în controlul
şi distribuţia informaţiilor către toate sistemele deschise în scopul utilizării
serviciilor şi mecanismelor de securitate şi al raportării către administratorul
reţelei a evenimentelor de securitate relevante care pot apărea.

În tema acestui studiu de caz se cere să se realizeze un sistem de securitate pentru

reţele care să asigure următoarele categorii de protecţii (servicii de securitate):
• autentificarea entităţilor şi mesajelor;
• controlul accesului;
• confidenţialitatea mesajelor;
• integritatea datelor;
• nerepudierea;
1
 Aşa cum vom vedea, măsurile de securitate pot fi:

• procedurale (ca, de exemplu, selectarea personalului, schimbarea periodică a

parolelor etc.);
• logice (ca, de exemplu, controlul accesului şi criptografia);
• fizice (camere speciale, uşi blocate etc.).

Vom considera în continuare un exemplu de reţea, a cărei configuraţie poate fi

folosită ca suport pentru oricare altă configuraţie (vezi figura 1). În cele mai multe cazuri,
configuraţia aleasă este probabil mai simplă decât aceasta. Dacă, de exemplu, se alege
conectarea unui singur segment LAN la INTERNET, folosindu-se un singur ruter, se vor
urma instrucţiunile legate doar de LAN1 şi R1.

Figura 1

Un exemplu
de configuraţie
de reţea

După cum se observă în acest exemplu, organizaţia (compania, instituţia) are

patru segmente LAN, notate LAN1 – LAN4, conectate la INTERNET. Segmentele LAN3 şi
LAN4 sunt conectate prin ruter-ul R3 la segmentul LAN1. Segmentul LAN2 este conectat prin
ruter-ul R2 la acelaşi segment LAN1. În sfârşit, segmentul LAN1 este conectat la ISP (Internet
Service Provider) prin ruter-ul R1. Să considerăm, de asemenea, că organizaţia are şi un
server FTP cu acces public, conectat la segmentul LAN1.
Pentru fiecare host conectat, ruter-ul implicit este cel la care este conectat segmentul
LAN respectiv.
În cele ce urmează vom prezenta metodele pe care le-am ales pentru implementarea
fiecărui serviciu de securitate în parte. În alegerea acestor metode nu am luat în considerare o
analiză a raportului cost-beneficii, privind problema numai din punctul de vedere al asigurării
securităţii, deoarece este vorba doar despre o exemplificare a unui sistem de securitate.

Autentificarea

2
Autentificarea utilizatorilor

Autentificarea utilizatorilor se va realiza pe baza unui sistem de recunoaştere a

amprentelor digitale. Procesele de administrare şi autentificare sunt prezentate în figura 2:

1. Administratorul de securitate foloseşte un senzor pentru citirea amprentelor

digitale ale utilizatorilor (vezi colţul din dreapta jos a figurii 2); informaţiile
citite sunt trimise Serviciului de Autentificare Biometrică, care le memorează
în baza de date a unui Server de Autentificare. Amprentele sunt citite cu
diferite rezoluţii; rezoluţia unei amprente reprezintă o estimare a siguranţei
comparaţiei dintre o amprentă stocată şi amprenta utilizatorului care va fi citită
ulterior pentru autentificare;
2. Administratorul defineşte o politică de securitate pentru baza de date a
Serverului de Autentificare. Aceasta va conţine o cheie secretă şi trei nivele de
prag diferite de autentificare: “verificare”, “deget fals” şi “securitate ridicată”.
3. La Client, înainte de a începe procesul de autentificare, administratorul (nu
apare în figură) stochează cheia secretă în dispozitivul de citire a amprentei,
pentru fiecare utilizator în parte. Cheia secretă stocată în dispozitivul de citire
va fi comparată cu cea stocată în baza de date;
4. La Client, ca răspuns la solicitarea de autentificare a utilizatorului, Serviciul
de Autentificare Biometrică stochează cele trei nivele de prag în dispozitivele
de citire a amprentei ale fiecărui Client, folosindu-le pentru a evalua amprenta
citită pentru autentificare:

• pragul “verificare” defineşte rezoluţia (acurateţea) necesară la citirea unei

amprente înainte de a fi acceptată pentru autentificare;
• pragul “deget fals” este folosit pentru refuzarea degetelor false;
• pragul “securitate ridicată” ajută la verificarea materialelor din care sunt
făcute degetele false

5. La Client, Serviciul de Autentificare Biometrică răspunde cererii de

autentificare prin citirea amprentei digitale a utilizatorului, valorile de prag şi
cheia secretă din dispozitiv, calculând o valoare hash a tuturor acestor
informaţii. Valoarea hash este apoi comparată cu cea calculată din copiile
cheii secrete, valorile de prag şi amprentele digitale, pentru a vedea dacă
utilizatorul respectiv are acces la sistem.

3
 Figura 2

Configuraţia tipică
a Clienţilor şi
Server-elor în
Serviciul de
Autentificare
Biometrică.

Arhitectura Serviciului de Autentificare Biometrică

• Managerul Biometric, utilizat de administratorul securităţii pentru

introducerea politicilor de securitate şi a amprentelor digitale;
• Serverul de Autentificare Biometrică, care stochează politicile de securitate şi
amprentele digitale;
• Adaptoarele de Autentificare Biometrică (nu apar în figură), utilizate atât la
Clienţi cât şi la Servere pentru a facilita transferul datelor de autentificare
biometrică între Clienţi şi Servere.

Modul de administrare

Administratorul utilizează managerul pentru scanarea amprentelor digitale,

măsurarea rezoluţiei amprentelor şi stabilirea politicii de securitate pentru servere.
Managerul trimite aceste informaţii Serverului de Autentificare, care le stochează în baza
de date. Administratorul sau altă persoană de încredere foloseşte Bibliotecile Software
pentru a stoca cheia secretă în PC-urile Client. Figura .3 prezintă toate aceste proceduri.

4
 Figura 3

Procedurile de
administrare

Procedura de autentificare

Oricare utilizator care doreşte să utilizeze sistemul trebuie să pună degetul pe

senzorul de citire a amprentei, aşa cum se observă în figura 4. Adaptorul de la Client
trimite o cerere de autentificare adaptorului de la Server, care o înaintează apoi
Serverului de Autentificare. Pentru fiecare cerere de autentificare de la un Client,
Serverul de Autentificare reface şi trimite informaţiile privind amprenta stocată şi politica
de securitate adaptorului de la Client, prin adaptorul de la Server.
În funcţie de valorile de prag asociate politicii de securitate, adaptorul de la
Client foloseşte Bibliotecile Software pentru a seta valoarea de prag a senzorului. Apoi
solicită utilizatorului plasarea degetului pe senzor. Adaptoarele de la Client şi de la
Server compară împreună amprenta utilizatorului, cheia secretă şi nivelurile de prag cu
cele stocate în Serverul de Autentificare. Dacă aceste date se potrivesc, atunci utilizatorul
este autentificat.

Figura 4

Procedura de
autentificare

5
Autentificarea mesajelor

Cea mai folosită metodă pentru autentificarea mesajelor, precum şi a emitenţilor,

este semnătura digitală. Semnătura digitală foloseşte un mecanism de criptare cu chei
publice.
Pentru schimbul de mesaje semnate în interiorul reţelei, fiecare utilizator
generează o pereche cheie publică – cheie privată şi depune cheia privată într-o bază de
date din Serverul de Autentificare. Această măsură pare a fi sigură, având în vedere
faptul că nimeni altcineva în afara utilizatorilor înregistraţi pe baza amprentelor digitale
nu are acces la sistem.
Problemele apar atunci când un utilizator intern doreşte să comunice cu cineva
din exteriorul reţelei, prin intermediul INTERNET-ului; indiferent dacă persoana
respectivă face parte din aceeaşi organizaţie (o altă sucursală, reprezentanţă, etc., depinde
de tipul organizaţiei), sau dintr-o altă organizaţie, problema este aceeaşi: distribuţia
cheilor publice.
În acest caz, pentru obţinerea cu uşurinţă şi într-o manieră sigură a cheilor publice
se pot folosi serviciile oferite de o Autoritate de Certificare (CA) de încredere (cum ar fi
cea a NSA sau cele ale cunoscutelor firme AT&T, Microsoft, RSA Data Inc.). În ţara
noastră nu există la ora actuală nici o CA, dar există preocupări şi propuneri pentru
introducerea unei astfel de autorităţi. În continuare sunt prezentaţi paşii care trebuie
urmaţi pentru realizarea unei autentificări corecte.
Procedura de obţinere a unui certificat este următoarea (vezi figura 5):

1. Generarea cheilor. Utilizatorul care solicită certificarea generează o pereche

(sau mai multe perechi) cheie publică – cheie privată ;
2. Potrivirea informaţiilor. Utilizatorul generează informaţii suplimentare
necesare Autorităţii de Certificare pentru emiterea certificatului. Acestea pot
fi, de exemplu, dovada identităţii, un număr de asigurare socială, o adresă
e-mail, etc.; CA este cea care defineşte cerinţele exacte;
3. Trimiterea cheilor publice şi a informaţiilor. Utilizatorul trimite cheia sa
publică (cheile publice) şi informaţiile personale Autorităţii de Certificare,
protejându-le prin criptare cu cheia publică a CA;
4. Verificarea informaţiilor. CA aplică politicile de care dispune pentru a se
asigura că certificatul va fi obţinut de către cel căruia îi aparţin respectivele
dovezi de identitate. Aici intervine principalul avantaj: chiar dacă un intrus ar
încerca să se substituie unui utilizator, certificatul va fi trimis tot utilizatorului
respectiv, deconspirându-se astfel orice încercare de furt sau fraudă.
5. Crearea certificatului. CA generează un document electronic cu informaţiile
corespunzătoare şi îl semnează cu cheia sa privată. Despre conţinutul unui
certificat X.509 vom discuta pe larg in cadrul cursului;
6. Trimiterea sau publicarea certificatului. În funcţie de situaţie, CA poate trimite
certificatul utilizatorului sau îl va publica.

Pentru verificarea certificatelor, este nevoie numai de cheia publică a CA şi de

verificarea listelor cu certificate revocate.
Fiecare utilizator, când transmite un document semnat, va trimite şi certificatul.
Metoda de semnare şi verificare a semnăturii digitale va fi tratată pe larg la punctul 7, al
cursului.

6
 Figura 5

Procedura
de obţinere
a unui
certificat

Controlul accesului

Accesul în interiorul reţelei

Controlul accesului intern se realizează cu ajutorul sistemului folosit pentru

autentificarea utilizatorilor, prin intermediul politicii de securitate, şi se referă la
utilizatori şi nu la sistemele Client. Astfel, pentru fiecare utilizator înregistrat în baza de
date a Serverului de Autentificare se defineşte o listă cu resursele la care respectivul
utilizator are acces, precum şi operaţiunile pe care are voie să le execute (citire, scriere
etc.). În momentul în care unui utilizator i se permite accesul la un sistem Client, se
activează lista cu permisiunile utilizatorului respectiv, asociindu-se sistemului Client de
la care utilizatorul accesează sistemul.

Accesul în/din exterior

Accesul extern poate fi controlat prin intermediul unui firewall. De exemplu, un

firewall de nivel aplicaţie care conţine facilităţi puternice, controale de acces specifice şi
facilităţi de raportare valoroase este Guardian (folosit de Departamentul de Apărare al
SUA – DoD). Proiectanţii produsului Guardian, LanOptics/ NetGuard Ltd. au conceput
programul special pentru platforma Windows NT.
Firewall-ul Guardian se instalează pe un server care va separa reţeaua internă de
INTERNET. Serverul informaţional public se poate lăsa în afara ariei protejate. Firewall-
ul permite stabilirea utilizatorilor care pot şi a celor care nu pot accesa reţeaua protejată,
precum şi resursele aflate la dispoziţia acestora. În plus, firewall-ul permite identificarea
exactă a celor care comunică în reţea prin intermediul său, identificarea serviciilor
folosite de aceştia şi a lăţimii de bandă consumată de comunicaţiile prin intermediul
reţelei.
Deoarece un firewall centralizează şi controlează accesul într-o reţea, acesta este
locul unde, în mod logic, trebuie să se afle hardware-ul sau software-ul pentru
7
autentificare. Cu toate acestea, în configuraţia finală a reţelei (vezi figura 6) am prevăzut
un server dedicat pentru autentificare, pentru a distinge mai bine elementele implicate în
asigurarea serviciilor de securitate.
Figura 6
finală a reţeleiConfiguraţia

8
Confidenţialitatea mesajelor
Un mecanism de confidenţialitate poate preveni accesul la informaţie
(redirecţionând mesajele pe reţele securizate) sau poate modifica sau ascunde informaţia
(prin cifrare) de toate persoanele cu excepţia acelora care au privilegii.
Autentificarea şi controlul accesului oferă un anumit nivel de confidenţialitate
informaţiei şi resurselor de afaceri prin permiterea accesului acelor utilizatori care sunt
identificaţi, autentificaţi şi autorizaţi. Aceste mecanisme oferă însă confidenţialitate doar
în ceea ce priveşte datele din interiorul reţelei protejate. Apare problema protejări
informaţiilor vehiculate între două terminale printr-o reţea publică.
Cea mai sigură metodă pentru asigurarea confidenţialităţii rămâne criptarea. Prin
procesul de criptare, datele sunt transformate într-o formă neinteligibilă pentru oricine ar
monitoriza linia. Astfel, un canal de transmisie nesigur dintr-o reţea publică (cum ar fi
INTERNET-ul) este transformat în ceea ce în literatura de specialitate se numeşte Reţea
Privată Virtuală (VPN – Virtual Private Network) (vezi figura 7).
O VPN permite transmisia datelor între două terminale printr-o reţea publică într-
o manieră care simulează proprietăţile unei legături punct la punct, dintr-o reţea privată.
Pentru simularea legăturii punct la punct, datele sunt încapsulate sub o formă care să le
permită traversarea reţelei publice pentru a ajunge la punctul de destinaţie. Pentru
simularea legăturii private, datele transmise sunt criptate pentru asigurarea
confidenţialităţii. Pachetele care sunt interceptate în reţeaua publică sunt indescifrabile
fără cheia de criptare.

Figura 7

Conceptul logic al VPN

9
 Din perspectiva utilizatorilor, o VPN reprezintă o conexiune punct la punct între
calculator, clientul VPN, şi un server. Infrastructura exactă a reţelei publice este
irelevantă deoarece din punct de vedere logic apare ca şi cum datele ar fi trimise printr-o
legătură privată dedicată.
Pentru criptare se pot folosi atât criptosisteme simetrice cât şi asimetrice (hard
sau soft), existente într-o gamă foarte variată pe piaţă. Totuşi, părerea specialiştilor în
domeniu este că algoritmii simetrici sunt mult mai eficienţi decât cei publici pentru
criptarea datelor. Viteza de lucru este ridicată şi nu sunt susceptibili la atacul prin textul
cifrat ales. Algoritmii cu chei publice pot face ceea ce algoritmii simetrici nu pot face;
sunt cei mai buni pentru administrarea (distribuirea) cheilor şi pentru protocoalele de
autentificare.
Pentru reţeaua imaginată aici, în cazul folosirii unor procesoare puternice,
criptarea software oferă un plus de securitate faţă de criptarea hardware, având în vedere
faptul că numai persoanele autorizate au acces la sistem.
Tot pentru asigurarea confidenţialităţii este necesară ecranarea calculatoarelor,
pentru a preveni scurgerea radiaţiilor interne (măsuri TEMPEST).

Integritatea datelor
O bună parte din problemele legate de integritatea datelor este din nou rezolvată de
sistemul de autentificare şi autorizare. Acesta oferă protecţie împotriva accesului, al modificării
sau ştergerii neautorizate a datelor din calculatoare, prin stabilirea politicii de securitate.
O altă problemă este aceea a integrităţii datelor vehiculate prin reţea, fie că este
vorba despre reţeaua privată sau cea publică, deoarece pot interveni perturbaţii ale
mediului de transmisie (accidentale sau intenţionate). În cazul acesta, cea mai simplă
metodă de asigurare a integrităţii este calcularea unei valori dependente de conţinutul
mesajului şi anexarea acestei valori la documentul transmis. La recepţie se calculează din
nou valoarea de verificare a mesajului, folosindu-se un algoritm identic cu cel de la
transmisie, iar valoarea calculată se compară cu cea recepţionată. Dacă cele două valori
nu coincid, se va solicita retransmisia mesajului.
Pentru calculul aceste valori de verificare, se vor folosi funcţii hash criptografice
(MD5, SHA).
Integritatea datelor poate fi afectată nu numai de perturbaţii şi atacatori, ci şi de
diverse defecţiuni ale componentelor sistemului. Pentru evitarea pierderii informaţiilor,
documentele importante trebuie copiate pe servere special destinate acestui scop (back-
up servers), server-e atent monitorizate de către administratorul securităţii, şi cu o
politică de control al accesului foarte riguroasă.

Nerepudierea
Disputele apărute în cazul repudierii mesajelor se rezolvă prin intermediul
Autorităţii de Certificare stabilite de comun acord între corespondenţi, şi care joacă rolul
de notar. CA este considerată imparţială, de încredere, iar deciziile ei vor fi respectate de
ambii corespondenţi. Pentru evitarea disputelor ulterioare, transmisia mesajelor
importante, care pot face obiectul unor repudieri, se va face numai prin intermediul CA.
10
 Pentru a transmite un document unui utilizator B, un utilizator A va realiza
următoarele operaţii:

• criptarea documentului şi semnarea acestuia cu ajutorul cheii sale private

• adăugarea certificatului personal
• criptarea documentului rezultat cu cheia publică a CA
• transmisia acestui document notarului (CA).

CA decriptează cu cheia sa privată, verifică certificatul şi semnătura lui A. În cazul în

care acestea corespund, notarul semnează documentul cu cheia sa privată , trimite câte o copie
fiecărui corespondent, păstrând o copie ca probă. CA va transmite copiile respective până va
recepţiona confirmarea de primire de la ambii corespondenţi.
Ulterior, A nu poate să nege faptul că a semnat documentul respectiv, deoarece acesta
este semnat cu cheia sa privată, pe care numai el o deţine. De asemenea, nici B nu poate să
nege faptul că a recepţionat documentul, deoarece a confirmat recepţia la momentul respectiv.

Auditul şi răspunsul la incidente

Pentru a urmări eventual, în justiţie, orice abuz relativ la sistem, trebuie cunoscut cum
se poate colecta şi păstra evidenţa incidentelor de securitate. În continuare sunt prezentate
câteva măsuri şi mecanisme pentru a păzi sistemul, precum şi ce este de făcut dacă se
constată accese ilegale, trecute sau în curs de derulare.

1) Mijloace de supraveghere a sistemului:

a) Comenzi:
• afişarea numelui utilizatorului, portului şi timpul de acces;
• identificarea procesului, portului, timpul şi durata utilizării şi numele fişierului
executabil folosit.
b) Evidenţa proceselor;
c) Fişiere jurnal:
• intrări în sistem;
• copie a tuturor mesajelor transmise la consolă.
2) Descoperirea acceselor neautorizate în sistem:
a) Incidente în curs:
• penetrări locale;
• penetrări prin reţeaua publică;
• deconectarea intruşilor.
b) Incidente deja consumate:
• data de schimbare a inod*-ului (reprezentarea interna a unui fisier care contine:
adresa de pe disc, lungime, mod de acces, timp de acces, proprietrul);
• cine a fost conectat.
c) Refacerea sistemului după incident:
• căutarea conturilor nou create;
• schimbarea parolelor la conturile existente;
• analiza întregului sistem de fişiere (checklist);
• verificarea programelor executabile;
• verificarea accesului la directoare şi fişiere;
• verificarea drepturilor utilizatorului şi superuser-ului;
*

11
 • verificarea fişierelor de iniţializare;
• verificarea existenţei directoarelor şi fişierelor ascunse;
• verificarea existenţei viruşilor;
d) Atacuri distructive majore:
• reformatarea discului;
• saturarea:
 cu procese;
 discului;
 spaţiu pe disc ascuns.
• ştergerea unor fişiere critice;
• întreruperea tensiunii de alimentare;
• tăierea cablurilor.
3) Urmărirea legală a incidentelor de securitate
Dacă se decide să se aducă acuzaţii unui intrus trebuie făcute anumite lucruri:

• Înlocuirea mesajelor de bun venit, la conectarea în sistem, cu mesaje de

atenţionare privind accesul neautorizat;
• Introducerea de mesaje de proprietate şi de copyright (proprietate intelectuală)
la toate programele sau fişierele de date ce ne aparţin;
• Informarea utilizatorilor asupra a ceea ce pot sau ce le este interzis să facă;
• Anunţarea utilizatorilor asupra acţiunilor lor ce urmează a fi monitorizate din
motive de securitate;
• Păstrarea într-un loc sigur a copiilor de siguranţă ale sistemului şi stabilirea
unei politici corecte de salvare periodică;
• Stabilirea în scris a autorizarilor ce le are fiecare utilizator în folosirea
sistemului şi stabilirea clară a resurselor ce le poate accesa. Aceştia să
cunoască şi să înţeleagă limitele între care pot lucra pe sistem;
• Când apar probleme de securitate care pot antrena o urmărire legală a
incidentelor – este interzis personalului să facă propriile investigaţii. Acestea
vor fi făcute de organele abilitate cu sprijinul administratorilor sistemului;
• Utilizatorii trebuie să semneze un angajament scris cu privire la
responsabilităţile lor referitoare la informaţiile confidenţiale, folosirea
calculatorului şi a reţelei;
• Elaborarea unui plan de acţiune în caz de incidente de securitate, consultând
avocatul instituţiei.

12