Dezvoltarea unei politici de securitate in retea



Dezvoltarea unei politici de securitate in retea

Fisa de documentare 1 Prezentarea solutiilor de protectie

Acest material vizeaza competenta/rezultat al invatarii: "Identifica fundamentele si principiile securitatii sistemelor de calcul si a retelelor de calculatoare" si "Instaleaza si configureaza  sisteme de securitate a sistemelor de calcul si a retelelor de calculatoare"



Importanta aspectelor de securitate in retelele de calculatoare a crescut odata cu extinderea prelucrarilor electronice de date si a transmiterii acestora prin intermediul retelelor. In cazul operarii asupra unor informatii confidentiale, este important ca avantajele de partajare si comunicare aduse de retelele de calculatoare sa fie sustinute de facilitati de securitate substantiale. Acest aspect este esential in conditiile in care retelele de calculatoare au ajuns sa fie folosite inclusiv pentru realizarea de operatiuni bancare, cumparaturi sau plata unor taxe.

Persoanele care atenteaza la securitatea retelelor pot apartine unor categorii diverse, comitand delicte mai mult sau mai putin grave: sunt cunoscute cazurile de studenti care se amuza incercand sa fure posta electronica a celorlalti, 'hacker'-i care testeaza securitatea sistemelor sau urmaresc sa obtina in mod clandestin anumite informatii, angajati care pretind ca au atributii mai largi decat in realitate, accesand servicii care in mod normal le-ar fi interzise, sau fosti angajasi care urmaresc sa distruga informatii ca o forma de razbunare, oameni de afaceri care incearca sa descopere strategiile adversarilor, persoane care realizeaza fraude financiare (furtul numerelor de identificare a cartilor de credit, transferuri bancare ilegale etc.), spioni militari sau industriali care incearca sa descopere secretele/strategiile adversarilor, sau chiar teroristi care fura secrete strategice.

Problemele de asigurare a securitatii retelelor pot fi grupate in urmatoarele domenii interdependente:

confidentialiatea se refera la asigurarea accesului la informatie doar pentru utilizatorii autorizati si impiedicarea accesului pentru persoanele neautorizate;

integritatea se refera la asigurarea consistentei informatiilor (in cazul transmiterii unui mesaj prin retea, integritatea se refera la protectia impotriva unor tentative de falsificare a mesajului);

autentificarea asigura determinarea identitatii persoanei cu care se comunica (aspect foarte important in cazul schimbului de informatii confidentiale sau al unor mesaje in care identitatea transmitatorului este esentiala);

ne-repudierea se refera la asumarea responsabilitatii unor mesaje sau comenzi, la autenticitatea lor. Acest aspect este foarte important in cazul contractelor realizate intre firme prin intermediul mesajelor electronice: de exemplu, un contract / comanda cu o valoare foarte mare nu trebuie sa poata fi ulterior repudiat(a) de una din parti (s-ar putea sustine, in mod fraudulos, ca intelegerea initiala se referea la o suma mult mai mica).

Aspectele de securitate enumerate anterior se regasesc, intr-o oarecare masura, si in sistemele traditionale de comunicatii: de exemplu, posta trebuie sa asigure integritatea si confidentialitatea scrisorilor pe care le transporta. In cele mai multe situatii, se cere un document original si nu o fotocopie. Acest lucru este evident in serviciile bancare. In mesajele electronice insa, distinctia dintre un original si o copie nu este deloc evidenta.

Procedeele de autentificare sunt foarte raspandite si ele: recunoasterea fetelor, vocilor a scrisului sau a semnaturilor unor persoane pot fi incadrate in aceasta categorie. Semnaturile si sigiliile sunt metode de autentificare folosite extrem de frecvent. Falsurile pot fi detectate de catre experti in grafologie prin analiza scrisului si chiar a hartiei folosite. Evident, aceste metode nu sunt disponibile electronic si trebuie gasite alte solutii valabile.

Dintr-un punct de vedere mai pragmatic, implementarea unor mecanisme de securitate in retelele de calculatoare de arie larga, in particular - Internet-ul, priveste rezolvarea urmatoarelor aspecte:

Bombardarea cu mesaje - asa numitul spam - trimiterea de mesaje nedorite, de obicei cu un continut comercial. Programele de e-mail pot incorpora facilitati de blocare a mesajelor de tip 'spam' prin descrierea de catre utilizator a unor actiuni specifice de aplicat asupra mesajelor, in functie de anumite cuvinte cheie sau de adresele (listele de adrese) de provenienta.

Rularea unui cod (program) daunator, adesea de tip virus - acesta poate fi un program Java sau ActiveX, respectiv un script JavaScript, VBScript etc. Cea mai mare parte a programelor de navigare permit utilizarea unor filtre specifice pe baza carora sa se decida daca un anumit program va fi rulat sau nu, si cu ce restrictii de securitate.

Infectarea cu virusi specifici anumitor aplicatii - se previne prin instalarea unor programe antivirus care detecteaza virusii, deviruseaza fisierele infectate si pot bloca accesul la fisierele care nu pot fi 'dezinfectate'. In acest sens, este importanta devirusarea fisierelor transferate de pe retea sau atasate mesajelor de e-mail, mai ales daca contin cod sursa sau executabil, inainte de a le deschide sau executa.

Accesarea prin retea a calculatorului unui anumit utilizator si 'atacul' asupra acestuia. La nivelul protocoalelor de retea, protejarea accesului la un calculator sau la o retea de calculatoare se realizeaza prin mecanisme de tip firewall, prin comenzi specifice. Acestea pot fi utilizate si in sens invers, pentru a bloca accesul unui calculator sau a unei retele de calculatoare la anumite facilitati din Internet.

Interceptarea datelor in tranzit si eventual modificarea acestora - snooping. Datele se considera interceptate atunci cand altcineva decat destinatarul lor le primeste. Transmisia protejata a datelor trebuie sa garanteze faptul ca doar destinatarul primeste si citeste datele trimise si ca acestea nu au fost modificate pe parcurs (datele primite sunt identice cu cele trimise).

Expedierea de mesaje cu o identitate falsa, expeditorul impersonand pe altcineva (pretinde ca mesajul a fost trimis de la o alta adresa de posta electronica) - spoofing. Aceasta problema se rezolva prin implementarea unor mecanisme de autentificare a expeditorului.

Pentru asigurarea securitatii retelei este importanta implementarea unor mecanisme specifice pornind de la nivelul fizic (protectia fizica a liniilor de transmisie), continuand cu proceduri de blocare a accesului la nivelul retelei (firewall), pana la aplicarea unor tehnici de codificare a datelor (criptare), metoda specifica pentru protectia comunicarii intre procesele de tip aplicatie care ruleaza pe diverse calculatoare din retea.

Impiedicarea interceptarii fizice este in general costisitoare si dificila; ea se poate realiza mai facil pentru anumite tipuri de medii (de exemplu, detectarea interceptarilor pe fibre optice este mai simpla decat pentru cablurile cu fire de cupru). De aceea, se prefera implementarea unor mecanisme de asigurare a securitatii la nivel logic, prin tehnici de codificare/criptare a datelor transmise care urmaresc transformarea mesajelor astfel incat sa fie intelese numai de destinatar; aceste tehnici devin mijlocul principal de protectie a retelelor.

Nu trebuie uitata totusi si problema numelor de utilizatori si a parolelor folosite. Autentificarea la un sistem informatic se face in general pe baza unui nume si a unei parole. Parola este un cuvant (sir de caractere) secret prin care un utilizator face dovada identitatii sale. Desi implicatiile stabilirii unei parole greu de ghicit sunt evidente, multi utilizatori acorda o mica importanta acesteia dand prilej unor terte persoane, de obicei rau voitoare, sa afle aceste parole.

Necesitatea retinerii unui numar mare de parole pune probleme multor utilizatori, de aceea preferandu-se stabilirea unor parole simple, a unei parole unice (folosita la mai multe conturi), notarea lor in locuri usor accesibile (si vizibile!) etc.

O parola complexa este un sir de caractere compus din litere minuscule, majuscule, cifre si simboluri (@#&%*.). Complexitatea parolei este data si de numarul de caractere ce o compun, o parola din minim opt caractere fiind considerata buna. De retinut ca timpul necesar pentru aflarea unei parole creste odata cu numarul de caractere din care este compusa.

Activitatea de invatare 1.1 Arii de protectie

Obiectivul/obiective vizate:

La sfarsitul activitatii vei capabil sa identifici ariile de protectie ce trebuie atinse.

Durata: 60 min

Tipul activitatii: Expansiune

Sugestii : activitatea se poate individual sau pe grupe

Sarcina de lucru: 

Realizati un eseu din care sa reiasa necesitatea atingerii urmatoarelor arii din cadrul securitatii retelelor: confidentialitatea, integritatea, autentificarea, ne-repudierea precum si implementarea unor mecanisme de securitate pentru protejarea impotriva urmatoarelor efecte: bombardarea cu mesaje (spam-ul si flood-ul), rularea de cod daunator(virusi), filtrarea documentelor atasate din cadrul casutelor de e-mail, expunerea la snoofing si spoofing Timpul de lucru este de 50 minute iar dimensiunea eseului trebuie sa fie de minim o pagina.

Pentru rezolvarea sarcinii de lucru consultati Fisa de documentare 1 precum si sursele de pe Internet.

Activitatea de invatare 1.2 Arii de acoperire pentru solutii de protectie

Obiectivul/obiective vizate:

La sfarsitul activitatii vei capabil sa identifici si sa intelegi importanta ariilor de acoperire la nivel fizic(asigurarea protectiei fizice a liniilor si echipamentelor de comunicatie, precum si a sistemelor de calcul) si la nivel informational(a datelor transmise spre, inspre si in retea, precum si protejarea nivelelor de acces la aceste date).

Durata: 30 min

Tipul activitatii: Problematizare

Sugestii : activitatea se poate individual sau pe grupe

Sarcina de lucru: 

Avand la dispozitie mai multe solutii de protectie la indemana, un informatician trebuie sa prezinte un raport privind ce trebuie sa asigure o astfel de solutie. Care ar fi criteriile de selectie a unui astfel de sistem si de ce ?

Pentru rezolvarea sarcinii de lucru consultati Fisa de documentare 1 precum si sursele de pe Internet.


Fisa de documentare 2 Solutii de securitate hardware si software

Acest material vizeaza competenta/rezultat al invatarii: "Instaleaza si configureaza  sisteme de securitate a sistemelor de calcul si a retelelor de calculatoare"

Conceptul de securitate hardware se refera la posibilitatile de a preveni furtul, vandalismul si pierderea datelor. Se identifica patru mari concepte:

a)     securizarea accesului - posibilitatea de a restrictiona si urmari accesul la retea (posibilitatile de a ingradi cladirile si de a securiza punctele de acces in cadrul unitatii)

b)     securizarea infrastructurii - protejarea caburilor, echipamentelor de telecomunicatii si dispozitivelor de retea - gruparea pe cat posibil in locatii puternic securizate a tuturor echipamentelor de comunicatie, camere de supravegheat - cu conectare wireless pentru zone greu accesibile - firewall-uri la nivel hardware, posibilitatea de a monitoriza modificarea cablarii si a echipamentelor intermediare de comunicatie - ex. monitorizarea switch-urilor, routerelor etc.;

c)     securizarea accesului la calculatoare - folosind lacate pentru cabluri - mai ales pentru laptopuri - carcase ce se pot inchide, eventual cutii securizate ce contin unitatile centrale ale desktop-urilor;

d)     securizarea datelor - in special pentru prevenirea accesului la sursele de date - ca de ex. Hard disk-urile externe vor trebui tinute in carcase prevazute cu lacate, precum si dispozitive de siguranta pentru stick-uri USB. O atentie foarte mare trebuie oferita solutiilor de back-up folosite, suporturile acestor date trebuiesc sa fie stocate si transportate in locatii si in conditii foarte sigure(stricte).

Implementarea unei solutii de securitate foarte puternice este o procedura foarte dificila ce implica de multe ori costuri foarte mari, cat si personal calificat si foarte disciplinat.

Cum s-a mentionat si in fisa 1.3 se incearca sa se gaseasca un compromis intre nivelul de securizare dorit si implicatiile implementarii acestor restrictii. O dezvoltare a ideii de securizare hardware o reprezinta asa-numitele elemente de monitorizare hardware a retelelor. Aceste solutii sunt echipamente special concepute a intretine retele intregi de calculatoare si vin sa inlocuiasca echipamentele uzuale.

De multe ori aceste echipamente contin un intreg ansamblu de solutii - firewall, antivirus, criptari, IDS (Intrusion Detection System), VPN (virtial private network), trafic snaping. Aceste solutii se bazeaza pe cipuri ASIC (Application-Specific Integrated Circuit) care sunt circuite integrate personalizate sa efectueze o anumita sarcina (se elimina cazurile generale, implementandu-se algoritmi speciali, specializati si optimizati). Versiuni similare sunt asa numitele SoC (System on a Cip) care contin si alte blocuri functionale (procesare pe 32 de biti, memorie ROM, RAM, EEPROM, Flash). Aceste echipamente totusi au preturi foarte mari, prohibitive pentru companiile mici si mijlocii, ele folosindu-se in special in cadrul marilor companii multi-nationale.

Menirea unei solutii de securitate software este de a inlocui si eventual de a imbunatati solutia de tip hardware(decizie luata in special din cauza pretului dispozitivelor hardware specializate). Astfel si solutiile software se pot organiza intr-un mod asemanator cu cel prezentat in fisa 2, cu precizarile urmatoare:

a)     la nivelul "accesului" se pot folosi sistemele de monitorizare folosindu-se de coduri de acces, camere de supraveghere cu detectia miscarii

b)     la nivel de "infrastructura" firewall-uri software, sisteme de monitorizare ale retelei in vederea detectarii de modificari la nivel de cablari, schimbari de configurare, declansari de alarme, etc.;

c)     la nivel de "date" - posibilitati de backup automate, pastrate in diferite locatii, programe de criptare, etc;

d)     la nivelul "calculatoarelor" - IDS (Intrusion Detection Systems) - care pot monitoriza modificarile din cadrul codului programelor si sesizeaza activitatea "neobisnuita" a retelei, folosirea de aplicatii de detectare a elementelor de tip malaware (virusi, spyware, adware, grayware);

Din alt punct de vedere este foarte important de evidentiat faptul ca aceste solutii de securitate se mai clasifica si in functie de importanta lor, astfel, deosebim:

a)     aplicatii de tip firewall - pentru filtrarea datelor din cadrul unei retele;

b)     aplicatii pentru detectarea codurilor daunatoare: aplicatii antivirus, aplicatii anti-spamware, anti-adware, anti-grayware la nivel de retea;

c)     obligativitatea actualizarii de patch-uri pentru sistemele de operare si aplicatii instalate pentru a minimiza posibilitatile de infectare folosind bresele de securitate nou aparute.

Toate aceste aplicatii sunt absolut necesare in orice retea care este conectata la Internet. Pentru orice companie este foarte important ca pe langa setarile de securitate pe calculatoarele utilizatorilor sa aiba solutii de protectie si la nivelul retelei. Intrucat solutiile de securitate care se pot seta la nivel de desktop (sau laptop) sunt relativ limitate - in special prin prisma puterii de procesare si de disciplina si cunostintele utilizatorilor - ramane sa se instaleze si configureze solutii dedicate de securitate la nivel de retea, solutii de care sa se foloseasca toti utilizatorii din cadrul ei.

Conform unui studiu al companiei Blue Coat[1] care prezinta primele 5 cele mai bune practici de securitate pentru conectarea la internet, se disting directiile de urmat in urmatoarea perioada (luni, ani) si anume:

Alaturarea la o comunitate de supraveghere (community watch). Din ce in ce mai multi utilizatori, se unesc in comunitati de supraveghere pastrate in asa numitele "cloud services" - retele intre care exista relatii bine-stabilite, de incredere si dependenta, bazandu-se pe concepte de procesare in retea(folosindu-se astfel de puterea de procesare oferita de fiecare calculator din cadrul ei) - pentru a se proteja unii pe altii. Cand o persoana detecteaza o amenintare, aceasta este perceputa de fiecare utilizator din cadrul norului (cloud) astfel ajungand sa se apere fiecare utilizator. Aceste comunitati sunt un pas foarte important in asigurarea securitatii deoarece confera avantaje foarte puternice comparativ cu alte solutii singulare, deoarece are la dispozitie mai multe resurse si solutii defensive.

Schimbarea mentalitatii defensive "one against the Web" (singur impotriva Internetului). Solutiile personale de protejare impotriva atacurilor criminale care vizeaza furtul de date, de orice natura, devin foarte repede "invechite" intrucat aceste atacuri devin din ce in ce mai complexe si mai sofisticate tehnologic. Sistemele de protectie bazate pe semnaturi actualizate zilnic sunt forme de protectie depasite. Nu se compara aceste solutii cu ceea ce se poate oferi prin solutiile cu design hibrid folosite de comunitatile de supraveghere, care se bazeaza pe servicii de protectie ce se actualizeaza odata la 5 minute, beneficiind de serviciile defensive a peste 50 de milioane de utilizatori.

Schimbarea politicilor bazate pe "productie" in politici bazate pe "protectie". Daca solutia existenta la momentul actual este mai veche de 1 an, atunci aceasta solutie este bazata pe "productie" - adica la momentul instalarii s-a luat in calcul marirea productivitatii utilizatorilor prin blocarea de site-uri cu continut obscen si neproductiv(ex. jocuri online). Cum s-a ajuns ca peste 90% din continutul malaware sa vina de la site-uri populare si "de incredere", Internetul-ca un tot unitar - a ajuns sa fie principalul "furnizor" de acest continut. Pentru protejare de atacuri venite din Internet este necesar sa se blocheze toate formele de download venite din partea unor site-uri necunoscute sau cu reputatii stirbe, blocand astfel o intreaga cale de acces al amenintarilor de tip malaware in reteaua locala.

Folosirea de servicii Web real-time (in timp real) de evaluare. Continutul Web cuprinde o multitudine de metode de filtrare de adrese URL care actualizeaza zilnic listele URL statice continute de fiecare site. Serviciile Web care ofera posibilitatea de a evalua site-urile devin unelte foarte puternice si necesare pentru a suplimenta valoare de protectie oferita de solutiile de filtrare de URL. Dealtfel aceste servicii ofera un real ajutor si utilizatorilor finali, oferind informatii in timp real cu privire la continutul paginilor vizitate, utilizatorii bucurandu-se de navigari relativ sigure folosind politici de securitate acceptabile.

Protejarea utilizatorilor ce se conecteaza de la distanta. Posibilitatea de a lucra la distanta a devenit o foarte importanta unealta de lucru pentru majoritatea utilizatorilor. Adaugarea unui agent de tip client, legat la o comunitate de supraveghere poate proteja mai bine utilizatorii la distanta. Centralizarea politicilor de management poate oferi protectia necesara oferita de filtrarea de continut si blocarea de malware de pe site-urile detectate de o intreaga retea defensiva a unei comunitati de supraveghere.

Producatorii de hardware au venit cu solutia simpla de a oferi un nivel de securitate crescut folosind functii bazate pe parole (maxim 8 caractere) pentru accesul la resursele unui calculator, aceasta forma de acces fiind o forma des intalnita, si la indemana oricui. Este asa-numita "parolare din BIOS".

Sunt cateva aspecte care confera acestei forme de securizare anumite avantaje si  dezavantaje:

este la indemana oricui (se regaseste in orice laptop sau desktop);

ofera un grad suplimentar de securitate sistemului, retelei, etc.;

se poate securiza doar setarile BIOS sau si partea de bootare (prin parolarea doar a BIOS-ului se pot dezactiva de ex. alte surse pentru bootare);

are un numar de 3 incercari pentru a introduce parola valida (privit dintr-un anumit punct de vedere este un avantaj, dar poate fi si un dezavantaj);

nu se pot securiza datele de pe HDD (cu exceptia unor cazuri speciale - ex. seria IBM ThinkPad), acestea fiind accesibile prin montarea in alta unitate;

odata blocat sistemul (s-a depasit nr de incercari pentru introducerea parolei) sistemul este blocat si este necesara interventia specializata (posibile solutii pentru utilizatorul obisnuit: resetarea BIOS-ului prin actionarea unui buton, setarea unui jumper sau scoaterea bateriei CMOS);

pentru anumite tipuri de BIOS sunt deja cunoscute unele parole "backdoor" care pot oferi acces pe sistem, facand aceasta forma de securizare inutila;

Activitatea de invatare 2 Solutii de securitate hardware si software

Obiectivul/obiective vizate:

La sfarsitul activitatii vei capabil sa prezinti avantajele si dezavantajele solutiilor de securitate hardware, respectiv software.

Durata: 50 min

Tipul activitatii: Metoda grupurilor de experti

Sugestii : activitatea se poate efectua pe grupe

Sarcina de lucru: 

Fiecare grupa va trebui sa trateze una din urmatoarele teme de studiu:securizarea accesului perimetral, securizarea infrastructurii, securizarea accesului la sistemele de calcul, securizarea datelor. Aceste teme vor fi tratate atat din punct de vedere al solutiilor hardware cat si software. Se va pune accent pe gasirea avantajelor si dezavantajelor solutiilor hardware, respectiv software. Aveti la dispozitie 20 minute, dupa care se vor reorganiza grupele astfel incat in grupele nou formate sa existe cel putin o persoana din fiecare grupa initiala. In urmatoarele 20 de minute in noile grupe formate se vor impartasi cunostintele acumulate la pasul I.

Pentru rezolvarea sarcinii de lucru consultati Fisa de documentare 2 precum si sursele de pe Internet.




Solution Brief: Top Five Security Best Practices for you Web Gateway in 2009, din 06.05.2009, link https://networking.ittoolbox.com/research/top-five-security-best-practices-for-your-web-gateway-in-2009-19108