Sisteme de securitate în rețele de calculatoare

1. Introducere in retelele cu acces la Internet

TIPURI DE RISCURI - VEDERE GENERALA

Conectarea unui sistem de calcul la Internet il expune la numeroase riscuri de incalcare a securitatii, care cresc de la o zi la alta. Vom discuta despre patru categorii majore de pericole, legate de:

- Date

- Programe

- Sisteme fizice

- Transmisie.

Pentru a se pregati impotriva atacurilor, utilizatorul trebuie sa stie ca orice potential intrus poate exploata majoritatea acestor slabiciuni pentru a expune datele la riscuri si pentru a aduce pagube sistemului.

De exemplu, introducerea de servicii Internet intr-o LAN poate crea brese de securitate prin care utilizatori neautorizati (intrusi) pot obtine acces la resurse ale retelei. De asemenea, intrusii pot agresa un server Internet, modificand fisierele stocate de acesta (cum ar fi fisiere care detin informatii privind cartile de credit). Hackerii pot intercepta mesaje e-mail si, asa cum s-a aratat anterior, virusii si alte programe auto-reproductibile pot patrunde intr-un sistem din Internet si il pot afecta sau distruge complet.

Cele mai frecvente tipuri si metode de atacuri din Internet asupra retelelor de firma au defmitii simple. Exista noua.categorii principale de atacuri indreptate impotriva retelelor conectate la Internet:

- Atacuri prin parola

- Atacuri prin spionajul retelei si interceptarea pachetelor

- Atacuri care exploateaza accesul liber (trusted access)

- Atacuri prin IP (IP spoofing)

- Atacuri prin inginerie sociala

- Atacuri cu predictia numarului secventei

- Atacuri cu detumarea sesiunii

- Atacuri care exploateaza slabiciunile tehnologiei

- Atacuri care exploateaza bibliotecile partajate.

Atacurile prin parola sunt, printre cele preferate de hackeri pentru abordarea retelelor online. La inceput, hackerii au incercat sa patrunda in retele prin introducerea unui identificator de login si a unei parole. Acestia incercau o parola dupa alta, pana cand nimereau una care functiona. Totusi, hackerii si-au dat seama ca aveau posibilitatea de a redacta programe simple care sa incerce parolele in sistem. In general, aceste programe simple ciclau prin fiecare cuvant din dictionar, in incercarea de a gasi o parola. Astfel, atacurile prin parole automate au devenit rapid cunoscute sub denumirea de atacuri cu dictionarul (dictionary-based attacks). Sistemele Unix sunt deosebit de vulnerabile la atacurile cu dictionarul, deoarece Unix nu exclude automat utilizatorul dupa un anumit numar de incercari de intrare in retea, spre deosebire de alte sisteme de operare, care inactiveaza un nume de utilizator dupa un numar fixat de tastari al unor parole incorecte.

Cu alte cuvinte, un hacker poate incerca de mii de ori sa se conecteze la un sistem Unix, fara ca acesta sa inchida conexiunea sau sa alerteze in mod automat pe administratorul de sistem.

Unii hackeri au avut chiar succes in utilizarea unor servicii Unix ca Telnet sau FTP pentru a obtine accesul la fisiere parola accesibile publicului. Sistemul de operare codifica parolele in asemenea fisiere. Totusi, deoarece fiecare sistem Unix isi codifica fisierul parola folosind acelasi algoritm (o functie matematica), un hacker poate ignora codificarea acestui fisier folosind un algoritm disponibil pe Internet. Acest algoritm este incorporat in mai multe instrumente de “spargere” a sistemelor des folosite in comunitatea hackerilor. Despre fisierele parola, codificare si algoritmi vom discuta mai tarziu.

Interceptarea pachetelor reprezinta una dintre infractiunile cele mai dificile, dar este, de asemenea, o amenintare serioasa la adresa afacerilor prin Internet. Dupa cum s-a aratat anterior, fiecare pachet trimis prin Internet poate parcurge un numar mare de calculatoare inainte de a ajunge la destinatie. Prin intermediul unui interceptor de pachete (packet sniffer), hackerii pot intercepta pachetele (inclusiv cele cu mesaje de login, transmisii ale identificatorilor numerici ai cartilor de credit, pachete e-mail etc.) care calatoresc intre diferite locatii din Internet. Dupa ce intercepteaza un pachet, hackerul il poate deschide si poate fura numele hostului, al utilizatorului, precum si parola asociata pachetului. Hackerii folosesc unul dintre cele mai comune tipuri de interceptari de pachete inaintea unor atacuri IP (ce vor fi descrise ulterior). Expertii in materie de securitate denumesc deseori interceptarea pachetelor ca spionaj de retea (network snooping) sau supraveghere ilegala (promiscuous monitoring). Figura 1.1 prezinta modul de interceptare si copiere a pachetelor de catre un interceptor de pachete.

Figura 1.1 Un interceptor de pachete intercepteaza si copiaza pachete

Atacurile de acces liber apar frecvent in retele care folosesc un sistem de operare (inclusiv Unix, VMS sau Windows NT) care incorporeaza mecanisme de acces liber. Aceste mecanisme reprezinta un punct deosebit de slab al sistemelor Unix. In cadrul unui sistem de operare Unix, utilizatorii pot crea fisiere host cu acces liber (trusted host files), care includ numele hosturilor sau adresele de unde un utilizator poate obtine acces la sistem fara parola. La conectarea dintr-un astfel de sistem, utilizatorul trebuie sa foloseasca numai comanda rlogin sau alta comanda asemanatoare, cu argumentele corespunzatoare. Astfel, un hacker poate obtine un control extins asupra sistemului daca ghiceste numele unui sistem cu acces liber sau o combinatie host - nume utilizator. Si mai rau, majoritatea hackerilor stiu ca multi administratori de sisterne Unix configureaza fisiere rhosts in directorul radacina, astfel incat utilizatorii sa se poata deplasa rapid de la un host la altul folosind privilegiile asa-numitului superutilizator (superuser). Mai multi administratori de sistem Unix incep sa-si dea seama ca utilizarea fisierelor rhost poate fi o facilitate costisitoare. Aceste fisiere permit unui hacker abil sa obtina cu usurinta acces neautorizat la directorul radacina.