Tehnologii de protectie a retelelor de calculatoareProtocoalele
Serviciile internet au la baza schimbul de mesaje intre o sursa si un destinatar. Principiul comunicarii este inspirat din sistemul postal: daca o persoana A doreste sa-i transmita ceva lui B, A impacheteaza obiectul, scrie pe pachet adresa expeditorului si a destinatarului si depune pachetul la cel mai apropiat oficiu postal. Similar, daca un utilizator A din internet doreste sa transmita un mesaj lui B, atunci mesajul trebuie "impachetat", mai precis incadrat de anumite informatii de control. Unitatea de date astfel obtinuta se numeste "pachet", prin analogie cu sistemul postal obisnuit. Informatia de control include adresa expeditorului si a destinatarului, specificate in forma numerica: patru numere naturale mai mici decat 256, despartite intre ele prin puncte. In sistemul postal obisnuit, in functie de localizarea destinatarului, pachetul poate fi transmis prin intermediul mai multor oficii postale intermediare. Ultimul oficiu postal din traseu livreaza pachetul destinatarului. Similar, intr-o retea de calculatoare, pachetul este dat unui comutator de pachete, numit si "ruter" (router), care are un rol similar oficiului postal si care il transmite catre destinatar. Eventual, pachetul traverseaza mai multe comutatoare intermediare. Ultimul comutator livreaza mesajul destinatarului.
Dirijarea pachetelor este efectuata automat de catre retea si respecta un set de reguli si conventii numit "protocol". Retelele de calculatoare pot folosi protocoale diferite, dar, pentru a putea comunica intre ele, trebuie sa adopte acelasi protocol. Retelele din internet folosesc protocolul IP (Internet Protocol). IP asigura livrarea pachetelor numai daca in functionarea retelelor nu apar erori. Daca un mesaj este prea lung, IP cere fragmentarea lui in mai multe pachete. Transmiterea pachetelor IP se face intre calculatoare gazda si nu direct, intre programele de aplicatie. Din aceste motive, protocolul IP este completat cu un altul, numit TCP (Transmission Control Protocol), care face fragmentarea si asigura transmiterea corecta a mesajelor intre utilizatori. Pachetele unui mesaj sunt numerotate, putandu-se verifica primirea lor in forma in care au fost transmise si reconstituirea mesajelor lungi, formate din mai multe pachete.
TCP este un protocol complicat. In unele cazuri, cand se transmite un singur mesaj, suficient de mic pentru a fi continut de un singur pachet, se poate folosi un protocol mai simplu, numit UDP (User Datagram Protocol).
La randul lor, operatiile de la nivel aplicatie se deruleaza si ele conform unor protocoale. De exemplu, posta electronica in internet se desfasoara dupa un protocol ce se numeste SMTP (Simple Mail Transfer Protocol). Functionarea lui se bazeaza pe serviciile oferite de protocoalele TCP si IP, carora le adauga functii noi, creand astfel servicii imbunatatite.
Functionarea protocoalelor TCP si IP presupune existenta unei comunicari directe intre noduri (ruter-e sau calculatoare gazda) adiacente din retea. Aceasta comunicare este realizata conform unor tehnologii diverse si se supune unor protocoale specifice, bine precizate. Ca urmare, TCP si IP se bazeaza, la randul lor pe serviciile oferite de alte protocoale. Se obtine, in ansamblu, o suita (ierarhie) de protocoale care depind unele de altele, dar care au ca punct central protocoalele TCP/IP. De aceea, ea este denumita suita TCP/IP sau familia de protocoale TCP/IP.
Protocoalele sunt grupate pe nivele. Aceasta grupare respecta principiul stratificarii: protocoalele sunt astfel proiectate incat nivelul N al destinatiei sa primeasca (fara modificari) obiectul transmis de nivelul N al sursei. Pentru respectarea acestui principiu, definitia oricarui protocol trebuie sa stabileasca doua aspecte: formatui unitatilor de date manipulate; actiunile posibile ale entitatilor de protocol care concura la realizarea serviciilor specifice protocolului.In modelul unei inter-reteie apar sistemele ce gazduiesc aplicatiile, numite si sisteme terminale, subretelele ia care aceste sisteme sunt conectate si sistemele intermediare, denumite in internet si porti sau ruter-e, ce conecteaza intre ele subretelele. Uzual, un sistem terminal are o singura interfata cu subreteaua la care este conectat, in timp ce un sistem intermediar are mai multe interfete, cate una pentru fiecare subretea la care este conectat. Rolul unui sistem intermediar este de a retransmite pachetele pe care le primeste de la o subretea, pe o alta subretea aflata pe calea spre sistemul terminal destinatar. Sistemul intermediar este legat la ambele subretele.
Firewall-urile
Un firewall este pur si simplu un program sau un dispozitiv hardware care filtreaza informatiile venite prin intermediul conexiunii la Internet în reteaua voastra privata sau un sistem informatic. Daca un pachet de informatii care trebuie sa intre este semnalizat de filtre, acesta nu va trece.
Sa presupunem ca lucrati la o companie cu 500 de angajati. Compania va avea, prin urmare, sute de computere care au toate placile de retea conectate intre ele. În plus, compania va avea una sau mai multe conexiuni la Internet ceva de genul liniilor T1 sau T3. Fara un firewall, toate aceste sute de calculatoare sunt direct accesibile pentru oricine de pe Internet. O persoana care stie ce poate face se va conecta la acele computere, va încerce sa faca conexiuni FTP la ele, va încerca sa facem conexiuni Telnet la ele si asa mai departe. În cazul în care un angajat face o greseala si lasa o gaura in securitate, hackerii pot ajunge la acel computer si exploateaza acea scapare.
Cu un firewall instalat, peisajul este diferit. O companie va plasa un firewall la fiecare conexiune la Internet (de exemplu, la fiecare linie T1).Firewall-ul poate pune în aplicare normele de securitate. De exemplu, una dintre regulile de securitate din interiorul unei companii ar putea fi: “Din cele 500 de calculatoare dîn interiorul acestei companii, doar unul dintre ele este permis sa primeasca trafic public FTP. Permite conexiuni FTP doar la un calculator pentru a le feri pe toate celelalte.”
O companie poate configura aceste reguli pentru servere FTP, servere Web, servere Telnet si asa mai departe. În plus, compania poate controla modul în care angajatii se conecteza la site-urile Web, daca fisierele au voie sa paraseasca compania ajungand in retea si asa mai departe. Un firewall ofera un control extraordinar asupra modului în care oamenii utilizeaza reteaua.
Firewall-urile utilizeaza una sau mai multe dintre cele trei metode de a controla traficul care intra si iese în afara retelei:
-Filtrare de pachete – Pachetele (bucati mici de date) sunt analizate cu un set de filtre. Pachete ca trec prin filtre sunt trimise la sistemul solicitant si toate celelalte sunt eliminate.
-Serviciul proxy – Informatiile de pe Internet sunt preluat de catre firewall si apoi trimis la sistemul solicitant si vice-versa.
-Inspectia dinamica – o metoda mai noua, care nu examineaza continutul fiecarui pachet, ci compara anumite parti-cheie ale pachetului de la o baza de date cu informatii de încredere. Informatiile care calatoresc din interiorul firewall-ului în exterior sunt monitorizate pentru definirea caracteristicilor specifice, informatiile primite se compara cu aceste caracteristici. În cazul în care comparatia randamentelor se potrivesc, informatia va trece. În caz contrar, aceasta este eliminata.
Firewall-urile sunt personalizabile. Acest lucru înseamna ca puteti adauga sau elimina filtre bazate pe mai multe conditii. Unele dintre acestea fiind:
-Adresele IP – Fiecarui computer conectat la Internet îi este alocata o adresa unica numit
adresa IP. Adresele IP sunt numere de 32-biti exprimati ca patru “octeti” într-un “numar zecimal punctat”. O adresa IP tipic arata astfel: 216.27.61.137. De exemplu, daca o anumita adresa IP din afara companiei acceseaza prea multe fisiere de pe un server, firewall-ul poate bloca tot traficul catre sau de la acea adresa IP.
-Nume de domeniii – Pentru ca este greu sa va amintiti un sir de cifre care alcatuiesc o adresa IP si pentru ca adresele IP, uneori, trebuie schimbate, toate serverele de pe Internet au nume, denumite nume de domenii. De exemplu, este mai usor pentru cei mai multi dintre noi sa ne amintim www.blasterzone.ro decât este sa ne amintim 216.27.61.137. O companie ar putea bloca toate caile de acces la anumite nume de domenii, sau pot permite accesul numai la nume de domenii specifice.
-Protocoalele – protocol este modul pre-definit pe care cineva vrea sa-l utilizeze un serviciu, discuta cu acel serviciu. “Cineva” ar putea fi o persoana, dar cel mai adesea este un program de calculator ca un browser Web. Protocoalele sunt de multe ori texte si pur si simplu descriu modul în care clientul si serverul pot conversa. Http este protocolul Web. Unele protocoale comune pe care le puteti seta ca filtre firewall includ:
IP (Internet Protocol) – sistemul de livrare principal pentru informatiile de pe Internet;
TCP (Transmission Control Protocol) – folosit pentru a sparge si reconstrui informatiile care circula pe Internet;
HTTP (Hyper Text Transfer Protocol) – utilizat pentru paginile Web;
FTP (File Transfer Protocol) – folosit pentru a downloada si uploada fisiere;
UDP (User Datagram Protocol) – folosit pentru informatii care nu necesita un raspuns, cum ar fi streaming audio si video;
ICMP (Internet Control Message Protocol) – folosit de un router pentru schimbul de informatii cu alte routere;
SMTP (Simple Mail Transport Protocol) – folosit pentru a trimite informatii bazate pe text (e-mail);
SNMP (Simple Network Management Protocol) – utilizat pentru a colecta informatii de sistem de la un computer aflat la distanta;
Telnet – utilizate pentru a efectua comenzi pe un computer aflat la distanta.
-Porturile – Orice serverul face serviciile sale disponibile pe Internet utilizând porturi numerotate, câte unul pentru fiecare serviciu care este disponibil pe server. De exemplu, daca un serverul ruleaza un server Web (HTTP) si un server FTP, serverul Web vor fi disponibile de obicei pe portul 80 si serverul FTP va fi disponibil pe portul 21. O companie ar putea bloca accesul de la portul 21 la toate computerele, dar lasand accesul unuia dîn interiorul companiei.
-Anumite cuvinte si expresii – Acesta poate fi orice. Firewall-ul va verifica fiecare pachet de informatii pentru o potrivire exacta cu textul enumerat în filtru. De exemplu, ati putea instrui firewallul sa blocheze orice pachet cu cuvântul “X-evaluat” în el. Cheia aici este ca acesta trebuie sa fie o potrivire exacta. Filtrul “X-evaluat” nu ar prinde “X evaluat” (fara cratima). Dar aveti posibilitatea sa includeti cât mai multe cuvinte, fraze si variatii ale acestora dupa cum aveti nevoie.
Unele sisteme de operare sunt dotate cu un firewall integrat. În caz contrar, un software firewall poate fi instalat pe computerul care are o conexiune la Internet. Acest computer este considerat un gateway, deoarece acesta ofera singurul punct de acces între reteaua de la domiciliu si Internet.
Cu un firewall hardware, unitatea de firewall este în mod normal, poarta de acces. Un bun exemplu este router-ul Linksys Cable/ DSL router. El are integrat o placa Ethernet si hub. Calculatoarele din reteaua de acasa se conecteaza la router, care, la rândul sau este conectat la un cablu sau modem DSL. Puteti configura router-ul prin intermediul unei interfete Web-based, care il accesati prin intermediul browser-ului de pe computer. Apoi, puteti seta orice filtre sau informatii suplimentare.
Firewall-uri hardware sunt incredibil de sigure si nu sunt foarte scump. Versiunile care includ un router, firewall si hub Ethernet pentru conexiuni în banda larga poate fi gasit sub x 100Unele sisteme de operare sunt dotate cu un firewall construit inch În caz contrar, un paravan de protectie software-ul poate fi instalat pe computer în casa ta, care are o conexiune la Internet. Acest computer este considerat un gateway, deoarece acesta ofera singurul punct de acces între reteaua de domiciliu si Internet.
Cu un firewall hardware, unitatea de firewall-ul în sine este în mod normal, poarta de acces. Un bun exemplu este Linksys Televiziune prin cablu / DSL router. Ea are un built-in Ethernet si carte de hub. Calculatoarele din reteaua de acasa se conecteaza la router, care, la rândul sau este conectat la nici un cablu sau modem DSL. Sa configurati router-ul prin intermediul unei interfete web-based, care ajunge prin intermediul browser-ul de pe computer. Apoi, puteti seta orice filtre sau informatii suplimentare.
Firewall-uri hardware sunt incredibil de sigure si nu foarte scump. Versiunile de origine care includ un router, firewall si hub Ethernet pentru conexiuni în banda larga poate fi gasit de mai bine sub 100$.
Exista mai multe modalitati creative pe care oamenii le folosesc pentru a accesa sau abuza de calculatoarele neprotejate:
-Remote login – Cand cineva este capabil sa se conecteze la computer si sa-l controleze într-o anumita forma. Acest lucru poate varia de la posibilitatea de a vizualiza sau accesa fisierele care ruleaza de fapt, programele de pe computer.
-Aplicatiile Backdoors – Unele programe au caracteristici speciale care permit accesul de la distanta. Altele contin erori care ofera un backdoor, sau un acces ascuns, care ofera un anumit nivel de control al programului.
-Deturnarea sesiunii SMTP – SMTP este cea mai comuna metoda de a trimite e-mailuri pe Internet. Prin accesul la o lista de adrese e-mail, o persoana poate trimite e-mailuri (spam) la mii de utilizatori. Acest lucru se face destul de des prin redirectionarea e-mailului prin serverul SMTP cu un host neasteptat, facând expeditorul real al spam-ul dificil de urmarit.
-Operarea bug-urilor de sistem – Ca si aplicatiile, unele sisteme de operare au backdoor-uri. Altele ofera acces la distanta cu controalele de securitate insuficiente sau au bug-uri de care un hacker experimentat poate profita.
-Interzicerea unui serviciu – Ati auzit, probabil, aceasta expresie utilizata în stirile despre atacurile asupra site-urilor Web importante. Acest tip de atac este aproape imposibil de urmarit. Ceea ce se întâmpla este ca un hacker trimite o cerere la server pentru a se conecta la ea. Cand serverul raspunde cu o confirmare si încearca sa stabileasca o sesiune, nu se poate gasi sistemul care a facut cererea. Prin inundarea unui server cu aceste cereri de sesiune fara raspuns, un hacker determina serverul sa incetineasca la un crawl sau un eventual crash.
-Bombele E-mail – O bomba e-mail este, de obicei un atac personal. Cineva va trimite acelasi e-mail de sute sau mii de ori pâna când sistemul e-mail nu mai poate accepta mai multe mesaje.
-Macrocomenzi – Pentru a simplifica procedurile complicate, numeroase aplicatii va permit sa creati un script de comenzi pe care aplicatia poate rula. Acest script este cunoscut ca un macro. Hackerii au profitat de aceasta pentru a crea propriile macrocomenzi, în functie de aplicatie, pot distruge datele sau strica computerul.
-Virusi – Probabil amenintarea cea mai cunoscuta sunt virusii. Un virus este un mic program care se poate copia la alte calculatoare. În acest fel se poate raspândi rapid de la un sistem la altul. Virusii variaza de la mesaje inofensive la stergerea tuturor datelor.
-Spam – De obicei inofensiv, dar intotdeauna denigratoar, spam-ul este echivalentul electronic al junk mail. Spam-ul poate fi periculos, desi, destul de des contine link-uri catre site-uri Web. Fii atent cand faceti clic pe acestea pentru ca puteti accepta accidental un cookie, care ofera un backdoor pe computer.
-Bombe redirect – Hackerii pot folosi ICMP pentru a schimba (redirectiona) informatiile prin trimiterea lui la un router diferit. Acesta este unul din modurile în care un atac denial este configurat.
-Sursa de rutare – În cele mai multe cazuri, calea unui pachet circula pe Internet (sau orice alta retea) este determinata de routere de-a lungul acelei cai. Dar sursa, oferind pachete, arbitrar poate specifica ruta pe care pachetul ar trebui sa calatoreasca. Hackerii uneori profita de aceasta pentru a face informatiile sa para provenite dintr-o sursa sigura sau chiar din interiorul retelei! Cele mai multe produse firewall dezactiveaza sursa de rutare în mod implicit.
Unele dintre elementele din lista de mai sus sunt greu, daca nu imposibil, pentru a fi filtrate cu ajutorul unui firewall. În timp ce unele firewall-uri ofera protectie împotriva virusilor, este bine sa instalati un software anti-virus pe fiecare computer. Si, chiar daca este enervant, unele spam-uri vor trece de firewall, atâta timp cât sunteti de acord cu e-mailurile.
Nivelul de securitate pe care il determinati va stabili modul în care multe dintre aceste amenintari pot fi oprite de firewall. Cel mai inalt nivel de securitate ar fi sa blocheze pur si simplu totul. Evident ca învinge scopul de a avea o conexiune la Internet. Dar o regula comuna a degetului mare este sa blochezi totul, apoi începe sa selecteze ce tipuri de trafic vei permite. Puteti restrictiona, de asemenea, traficul care circula prin firewall, astfel încât doar anumite tipuri de informatii, cum ar fi e-mail, pot trece. Aceasta este o regula buna pentru companiile care au un administrator de retea cu experienta care întelege ceea ce este nevoie si stie exact ce trafic sa permita. Pentru majoritatea dintre noi, aceasta este, probabil, mai bine sa functioneze cu valorile implicite oferite de dezvoltator firewall-ului cu exceptia cazului în care exista un motiv specific pentru a-l modifica.
Una dintre cele mai bune lucruri despre un firewall din punct de vedere al securitatii este faptul ca opreste pe oricine din exterior sa se logheze pe un computer din reteaua voastra privata. În timp ce aceasta este o afacere mare pentru întreprinderi, cele mai multe retele de acasa probabil nu vor fi amenintate în acest mod. Totusi, folosind un firewall ofera o oarecare impacare a mintii.
Rețea privată virtuală (VPN)Reţele private virtuale (dinamice). Întreprinderile A şi B nu se "văd" şi nu se deranjează reciproc, deşi ambele folosesc aceeaşi reţea fizică publică.
O rețea privată virtuală (din
engleză de la virtual private network, prescurtat VPN) este o tehnologie de comunicații
computerizata sigura, folosita de obicei în cadrul unei companii, organizații sau al mai multor companii, dar bazata pe o rețea publică și de aceea nu foarte sigură. Tehnologia VPN este concepută tocmai pentru a crea într-o rețea publică o subrețea de confidențialitate aproape la fel de înaltă ca într-o rețea privată adevărată la care sunt legați numai utilizatori autorizați. În mod intenționat această subrețea, denumită totuși "rețea VPN", nu poate comunica cu celelalte sisteme sau utilizatori ai rețelei publice de bază. Utilizatorii unei rețele VPN pot căpăta astfel impresia că sunt conectați la o rețea privată dedicată, independentă, cu toate avantajele pentru securitate, rețea care în realitate este doar virtuală, ea de fapt fiind o subrețea înglobată fizic în rețeaua de bază.
Expresia virtual private network mai poate fi tradusă și prin „rețea aproape privată”, traducere care și ea corespunde bine cu definiția de mai sus.
Mesajele din traficul de tip VPN pot fi transmise prin intermediul infrastructurii unei rețele publice de date (ex:
Internet) folosind protocoalele standard, sau prin intermediul unei rețele private a furnizorului de servicii Internet (
ISP), pusă la dispoziție publicului.
Aceste tipuri de conexiuni oferă o alternativă cu cost redus, în comparație cu rețelele dedicate de tip
WANprivate, oferind posibilitatea de conectare a comutatoarelor de telecomunicații la rețeaua internă a unei companii prin cablu, x
DSL, sau
dial-up. Conexiunile VPN sunt ușor de implementat peste infrastructurile publice existente, și oferă o alternativă în comparație cu rețelele dedicate private cum ar fi cele de tip
Frame Relay sau
ATM, care în general sunt mai scumpe.
Rețelele VPN oferă mai multe avantaje: prețuri redus pentru implementare / funcționare / administrare / întreținere, securitate informațională sporită (aproape ca la rețelele private propriu-zise, tradiționale), scalabilitate, acces simplificat și, în sfârșit, compatibilitate cu rețelele publice de mare viteză.
Arhitectura VPN
Arhitectura unei reţel VPN
Pentru cei ce doresc să stabilească o conexiune VPN, sunt disponibile mai multe metode (bazate pe nivelele 2 și 3 din Modelul
OSI), împreună cu tehnologiile respective. Rețeaua VPN poate fi stabilită și administrată la sediul clientului, sau și de către furnizorul de servicii de telecomunicații. De asemenea, pentru a satisface cerințe speciale, există și posibilitatea de a combina mai multe din aceste metode între ele.
Tipuri de VPN
VPN-urile sigure folosesc
cryptografic tunneling protocols. Acestea sunt protocoale criptice (codificate) care asigură confidențialitatea (blocând intrușii), autenticitatea expeditorului și integritatea mesajelor. Dacă sunt alese, implementate și utilizate în mod corespunzător, astfel de tehnici pot asigura comunicații sigure chiar în cadrul unei rețele nefiabile.
Deoarece o astfel de alegere, implementare și folosire nu sunt sarcini simple, există pe piață multe scheme VPN nefiabile (nesatisfăcătoare).
Tehnologiile VPN sigure pot fi de asemenea utilizate pentru a crește securitatea în infrastructura rețelelor.
Exemple de protocoale VPN sigure (fiabile):
IP security (IPsec) - folosit pe
IPv4, și parțial obligatoriu pe
IPv6.
Secure Sockets Layer / Transport Layer Security (SSL/TLS) - folosit ori pentru întreaga rețea, precum în proiectul OpenVPN, ori pentru securizarea unui
proxy web. A fost construită de companii precum Aventail și Juniper care asigură accesul distant la capabilitățile VPN.
Point-to-Point Tunneling Protocol (PPTP), creat de un grup de companii, printre care și
Microsoft.
Layer 2 Tunneling Protocol (L2TP), creat prin cooperarea între Microsoft și
Cisco.
Layer 2 Tunneling Protocol, version 3 (L2TPv3), lansat recent.
VPN-Q
Multi Path Virtual Private Network (MPVPN). MPVPN este marcă înregistrată a companiei Ragula Systems Development Company. Vezi Trademark Applications and Registrations Retrieval (TARR).
Pe piață există companii care asigură administrarea serverului VPN, serviciu oferit clienților lor dacă nu doresc să facă acest lucru ei înșiși. VPN-urile fiabile nu folosesc tunelele criptografice, în schimb se bazează pe securitatea unui singur distribuitor al rețelei care va asigura un trafic protejat.
Multi-Protocol Label Switching (MPLS) este adesea folosit pentru construirea unui VPN fiabil.
Layer 2 Forwarding (L2F), proiectat de Cisco.
Tunneling
Tunneling reprezintă transmiterea datelor în cadrul unei rețele publice astfel încât aceasta să nu "înțeleagă" faptul că transmiterea (transportul de informații) e parte a unei rețele private. Este realizat prin încapsularea datelor apartenente rețelei private și crearea unui protocol care să nu permită accesul nimănui la acestea. Tunneling permite folosirea rețelelor publice (
Internet), văzute astfel ca "rețele private" sau aproape private.
Dialogurile de securitate VPN
Cel mai important aspect al soluției oferite de VPN este securitatea transmisiilor. O rețea VPN, prin natura sa, trebuie să se ocupe cu, și să rezolve toate tipurile de amenințări ale siguranței, oferind și servicii de securitate în domeniul autentificării (controlului accesului).
Generic Router Encapsulation
.jpg)
Encapsularea generică
Generic Router Encapsulation (GRE) reprezintă o metodă de dirijare a pachetelor
IP care sunt nerutabile. De asemenea se poate folosi și pentru rutarea pachetelor multicast peste rețele incompatibile. GRE poate ruta pachete non-IP (cum ar fi AppleTalk, Internetwork Packet Exchange sau IPX) peste rețele IP.
Descrierea imaginii "Encapsulare generică"
Tuneluri IPSec peste rețeaua operatorului de telecomunicații. Această configurare reprezintă o conexiune sigură de încredere.
MPLS VPN. Atunci când pachetele de date intră în rețeaua operatorului de telecomunicații, li se atribuie etichete, unde ele sunt apoi rutate conform instrucțiunilor de expediere.
Mecanismul de autentificare
Articol principal:
AutentificareAcesta este procesul prin care se verifică identitatea utilizatorului (sau a sistemului utilizator). Există multe tipuri de mecanisme de autentificare, dar cele mai multe folosesc unul din următoarele moduri de abordare:
ceva ce știi (ex.: nume utilizator,
parolă,
PIN),
ceva ce ai (ex.: Smartcard, o
card key),
ceva ce ești (ex.:
amprentă, un pattern al
retinei, un pattern al
iris-ului, configurație manuală, etc).
Autentificarea "slabă" folosește doar una din categoriile de mai sus, iar cele "puternice" presupun combinarea a cel puțin două din categoriile prezentate mai sus. Cu toate acestea nu există o metodă absolut sigură de protecție a siguranței.
VPN este o modalitate eficientă din punct de vedere al costurilor pentru ca diferite companii să poată asigura accesul la rețeaua companiei pentru angajații și colaboratorii aflați la distanță de sediul central, și pentru a permite confidențialitatea datelor schimbate între punctele de lucru aflate la distanță.
De obicei, între calculatorul client al utilizatorului/angajatului, aflat la depărtare, și rețeaua la care acesta este conectat pentru a accesa resursele informaționale ale companiei, există un
firewall. Programul client (sau sistemul client) al utilizatorului poate stabili o comunicare cu firewall-ul, prin care va putea trasmite informații de autentificare către un serviciu specializat. Astfel, o persoană cunoscută, utilizând uneori numai dispozitive cunoscute, poate obține privilegiile de securitate care îi permit accesul la resursele companiei, blocate pentru ceilalți utilizatori din Internet.
Multe din programele client ale unei rețele VPN pot fi configurate in așa fel încât, pe toată durata unei conexiuni VPN active, ele să ceară trecerea întregului trafic IP printr-un așa-numit tunel, sporind astfel siguranța conexiunii. Din perspectiva utilizatorului, acest lucru înseamnă că atâta vreme cât conexiunea VPN e activă, accesul din afara rețelei sigure va trebui să treacă prin același firewall, ca și cum utilizatorul ar fi conectat în interiorul rețelei sigure. Acest fapt reduce riscul unei accesări din partea unui atacator. O astfel de securizare e importantă deoarece alte calculatoare conectate local la rețeaua clientului pot fi nefiabile sau fiabile doar parțial. Chiar și o rețea restrânsă protejată de un firewall, având mai mulți clienți conectați simultan fiecare la câte un VPN, va putea astfel asigura protejarea datelor, chiar dacă rețeaua locală este infectată de viruși.
Dacă, pentru a se conecta la rețeaua companiei, angajații trebuie să folosească un program client VPN dintr-un punct de acces
Wi-Fi într-un loc public, această securizare devine și mai importantă.
Caracteristici ale aplicației
Un VPN bine proiectat poate oferi beneficii considerabile pentru o organizație. Acesta poate:
Extinde conectivitatea geografică.
Îmbunătăți securitatea liniilor necriptate.
Reduce costurile operaționale, în comparație cu o rețea tradițională de tip
WAN.
Reduce timpul de tranzit și costurile de transport al datelor pentru utilizatorii aflați la distanță.
Simplifica topologia rețelei în anumite cazuri.
Oferi oportunitățile unei rețele globale.
Oferi compatibilitate cu rețelele de mare viteză de tip
broadband.
Oferi un return on investment (ROI) mai rapid decât liniile tradiționale WAN, fie proprietare sau închiriate.
Prezenta o scalabilitate sporită, când este folosit în cadrul unei infrastructuri cu cheie publică.
Având în vedere faptul că VPN-urile sunt extinderi ale rețelei centrale (de bază), există unele implicații de securitate care trebuiesc luate în considerare cu multă atenție:
Securitatea pe partea clientului trebuie să fie întărită. Acest procedeu poartă numele de Central Client Administration sau Security Policy Enforcement. Adeseori companiile cer angajaților care doresc să folosească VPN-ul în afara serviciului să își instaleze în prealabil un firewall oficial. Unele organizații care gestionează date importante, precum sunt cele din domeniul sănătății, au grijă ca angajații să dispună de două conexiuni WAN separate: una pentru gestionarea datelor sensibile, și a doua pentru alte interese.
Accesul la rețeaua țintă poate fi limitat.
Politicile de jurnalizare trebuie evaluate din nou și în cele mai multe cazuri revizuite.
O singură scurgere de informații nedorită poate duce la compromiterea securității unei rețele. În cazul în care un individ sau o companie are obligații legale privind protejarea datelor confidențiale, pot rezulta probleme legale chiar cu răspundere penală. Servesc ca exemple reglementările
HIPAA adoptate în
SUA în domeniul sănătății, precum și reglementările pe plan general ale
UE.
.jpg)
.jpg)
.jpg)
.jpg)
