7/24/2019 42381221 Solutia Linux de Conectare La Internet
1/40
Solutia Linux de conectare la Internet
CUPRINSPARTEA I (Conectarea unui LAN la Internet)
Cazul clasic al conectarii la InternetConceptul de InternetCum functioneaza Internet-ul ?Conectarea la Internet printr-un cablu TP
Cablul TP!iteza de transfer
Informatii "itale pentru conectarea la Internet Adresa IPNetmas#
Adresa de broadcast$ate%a&
'NTestarea cone iuniiConectarea mai multor calculatoare la InternetInstalarea Linu -ului
Cate ce"a despre *ard-dis#-uriConfi+urari la Instalarea Linu -uluiComenzi lo%-le"el de confi+urare reteaIfconfi+Route
tudiu de cazRecompilarea #ernel-ului,ootare fortata'e unde se obtin adresele IP routabile'omenii 'N
er"erul de emailPro &
ecuritateire%all-ul in Linu
PARTEA A '. A (Reprezentare ire%all)IntroducereCum functioneaza un fire%allPac*etul IP
Abstractizare fire%allLimitari cunoscutePosibile reprezentariReprezentarea cu mascaReprezentare fire%all printr-un automat
Automat fire%all minimalPARTEA A TREIA (Protocolul TCP/IP)
Protocolul IP (Internet Protocol) Adrese IP
,iblio+rafie
7/24/2019 42381221 Solutia Linux de Conectare La Internet
2/40
PARTEA INTAI
- Conectarea unui LAN la Internet -
Cazul clasic al conectarii la Internet
Pentru ca un calculator sa fie conectat la Internet trebuie intai sa e iste o le+atura
fizica intre acesta si un nod al acestei retele Internet0 Le+atura poate fi realizata prin fire
de cupru (cablu ,NC1 TP)1 fibra optica1 unde radio1 etc0 'e obicei administratorul
nodului de2a conectat la Internet (Internet er"ice Pro"iderul de e emplu) furnizeaza un
IP noului *ost conectat0
Conceptul de Internet
In momentul in care o firma/institutie a inceput sa acumuleze dispoziti"e de calcul1
a aparut si problema transmiterii de date intre acestea si utilizarii unor informatii incomun0 Transmiterea prin manipularea dispoziti"elor de stocare (disc#ete1 *ard-dis#-uri1
benzi ma+netice) s-a do"edit ineficienta pentru accesari de date in timp real sau pentru
transmiteri frec"ente de fisiere mici (cum ar fi transportul pe dis#eta a fisierelor pana la
calculatorul la care este conectata imprimanta)0 Aceasta ne"oie a fost rezol"ata
interconectand calculatoarele (si alte dispoziti"e de calcul care au putut fi adaptatate
precum imprimante de retea1 etc) prin le+aturi fizice permanente1 prin fire de cupru1 fibre
optice sau c*iar prin infrarosii si unde radio0 In scurt timp insa a aparut si problema
comunicarii de date intre filiale ale aceleiasi firme din zone +eo+rafice diferite1 asa ca
aceste retele ( net -uri) au fost inter -conectate (la inceput prin linii telefonice inc*iriate)0
Astfel s-au format internet -urile (inter-retele)0 La un moment dat (prin anul 3456)1
7inisterul Apararii din A a dorit sa interconecteze bazele sale militare intr-o inter-retea
care sa fie capabila sa continue sa functioneze c*iar in cazul in care unele puncte ale
marii retelei ar fi distruse0 Asa a aparut o inter-retea numita ARPANET (ARPA =
"Advanced Research Projects Agency" se numea institutia +u"ernamentala care a
coordonat si finantat proiectul)0 E perimentele facute cu aceasta retea au dus la
concluzia ca trebuie dez"oltat un protocol nou1 special conceput pentru o astfel de
ar*itectura de retea0 Astfel a aparut protocolul TCP/IP 1 special conceput pentru a lucra pe
o retea de intindere foarte mare1 pe o inter-retea0 ARPA a semnat un contract de
finantare cu 8 ni"ersit& of California din ,er#ele&8 pentru a implementa acest protocol in
sistemul de operare NI91 ceea ce a dus la dez"oltarea unei interfete fle ibile prin care
pro+ramele pot comunica intre ele prin retea numita 8soc#et8 (soclu)0 In cursul dez"oltarii
protocolului au fost interconectate retelele mai multor uni"ersitati1 rezultand o retea cu
apro imati" :66 de noduri0 In anul 34;6 portiunea militara a fost data in e ploatare (si
izolata de restul retelei)1 dar cele apro imati" 356 de noduri ramase au functionat in
7/24/2019 42381221 Solutia Linux de Conectare La Internet
3/40
continuare1 noi si noi retele fiind interesate sa se conecteze la acesta mare inter-retea0
Cand aceasta inter-retea a de"enit atat de mare incar lumea a constientizat-o ca Inter-
reteaua (cu I mare)1 a aparut si conceptul de Internet (cu I mare)0
Cum functioneaza Internet-ul
Internetul este o retea care interconecteaza calculatoare din intrea+a lume1 facandposibil sc*imbul de informatii de orice tip intre oricare doua calculatoare din aceasta
retea0 Protocolul de comunicare in aceasta retea este se numeste IP (Internet Protocol) si
asi+ura transmiterea de data+rame (numite pac*ete IP) intre oricare doua puncte ale
retelei0 Aceste pac*ete au lun+ime limitata (uzual 3 +rupe de
catre ; biti scrise in baza zece1 mai e act ca > numere in inter"alul 6-:
7/24/2019 42381221 Solutia Linux de Conectare La Internet
4/40
pac*etelor este c*iar o problema0 Astfel a aparut necesitatea diferentierii de clase de
ser"icii1 ser"icii nefiabile1 orientate pe data+rame care nu asi+ura retransmiterea
pac*etelor pierdute si reordonarea lor si ser"icii fiabile1 orientate pe cone iune1 in care
se face automat retransmiterea pac*etelor piedute1 ordonarea la destinatie si c*iar
controlul con+estiei0 Pentru acest scopuri au fost create protocoale de comunicare
8peste8 acest protocol1 mai e act a fost rezer"at in antetul pac*etului IP un camp 8tip de
pac*et8 iar in functie de acest camp informatia din pac*etul IP este interpretata in mod
diferit si este tratata de protocoale diferite0 Cele mai cunoscute tipuri de pac*ete IP sunt
pac*etele TCP1 'P si IC7P0 Protocolul 'P ( ser 'ata+ram Protocol) este un
protocol simplu dar nesi+ur1 aplicatiile care il folosesc trebuie sa-si implementeze sin+ure
metode de detectare a pac*etelor pierdute si de retransmitere a lor0 Protocolul TCP este
un protocol comple 1 asi+urand initierea de cone iuni fiabile1 cu retransmitere de
pac*ete1 reordonare si controlul con+estiei0 Pac*etele IC7P (Internet Control 7esa+eProtocol) se folosesc pentru depanarea retelei (pin+) si pentru transmiterea de informatii
despre e"enimente speciale pe parcursul traseului unui pac*et (de e 0 pac*etul a trecut
prin mai multe routere decat ma imul specificat in pac*et)0
Recapituland e ista pac*etele IP care au ca definitorii IP-ul sursa si IP-ul
destinatie0 Printre tipurile de pac*ete IP cele mai cunoscute sunt 'P1 TCP1 IC7P si
ARP (ultimul mai putin cunoscut pentru ca nu este folosit de aplicatii ci de catre sistemele
de operare)0
Pentru a identifica si diferentia *osturile e ista adresele IP0 Pentru a diferentia in
cadrul aceluias *ost di"ersele aplicatii care comunica in retea e ista numarul de port1
care este un numar pe 35 biti1 deci intre 6 si 5
7/24/2019 42381221 Solutia Linux de Conectare La Internet
5/40
mufe prin 8sertizare8 cu un cleste special care infi+e lamele metalice ale mufei prin
in"elisul izolator al fiecarui fir0 Pri"ind mufa cu lamela de prindere in spate si cu lamelele
metalice in sus1 firele folosite la et*ernet sunt 3-: si =-50 Pe aceste pozitii trebuiesc sa fie
sertizate fire perec*i1 uzual portocaliu si "erde0 Pentru a interconecta doua calculatoare
cablul trebuie sertizat astfel incat perec*ea de fire care este pe pozitia 3-: la un capat sa
corespunda perec*ii =-5 la celalalt capat (ce transmite o placa de retea sa a2un+a la
pozitia de receptie ai celeilalte)0 'e obicei insa se foloseste un 8concentrator8 la care se
aduna cablurile de la mai multe calculatoare si prin care comunica intre ele (de e emplu
@ , sau ITC@)0 Acesta are mufele asemenatoare celor de retea1 dar au in"ersati
conectorii 3B- = si :B- 51 astfel ca pentru conectarea unui calculator catre acest
8concentrator8 se folosesc cabluri care au la ambele mufe aceeasi ordine a perec*ilor0
.rdinea uzuala este
%-o1o1%-+1b1%-b1+1%-br1br cu con"entia oDoran+e (portocaliu)1 +D+reen("erde)1
bDblue(albastru)1 brDbroun (maro) iar w- semnifica ca respecti"a culoare este intrerupta0
In cazul in care cablul este 8in"ersat8 (se mai numeste si twisted sau cross-over ) ordinea
la una din mufe este sc*imbata in %-+1+1%-o1b1%-b1o1%-br1br0 Trebuie precizat ca o
+reseala frec"enta este pozitionarea perec*ilor in mufa dupa o ordine oarecare0 'aca
este respectata in ambele parti1 cablul poate functiona aparent1 dar daca perec*ile 3-: si
=-5 nu sunt torsadate (rasucite) pot apare functionari defectuase (pierderi1 erori)1 mai
insemnate la 3667bps si/sau cabluri lun+i0
'e obicei lan+a calculator e ista o priza TP care este le+ata la concentrator
(@ ,1 ITC@)0 Conectarea consta in le+area unui cablu TP 8direct8 (nein"ersat) intre
priza TP si placa de retea et*ernet din calculator0 In +eneral "om a"ea la dispozitie o
mufa utp 8mama8 care ne "a le+a fizic de un router de2a conectat la Internet (acesta
poate fi in aceeasi cladire si le+at la acelasi @ ,/ ITC@ sau poate fi la pro"iderul
INTERNET pana la care le+atura se face prin 7odem de cablu1 ibra optica sau Radio0
Este de asteptat ca la pro"ider sa e ista o trecere similara de la ec*ipamentul de
conectare spre un cablu TP1 deci daca facem abstractie de "iteza putem considera ca
e ista un cablu TP de la calculatorul nostru pana in @ ,-ul/ ITC@-ul pro"iderului1 la
care este conectat routerul acestuia0
"iteza de transfer# La inceput cone iunea et*ernet asi+ura o "iteza de 367bps
(36 me+abiti pe secunda)0 Le+atura se putea realiza printr-un cablu ,NC (coa ial) care
trecea pe la toate calculatoarele sau prin cablu TP si @ ,/ ITC@ pentru conectarea
mai multor calculatoare0 Pe cablul TP a fost proiectat apoi un standard care permite
atin+erea "itezei de 3667bps0 7a2oritatea placilor de retea de 3667bps suporta si
interconectari la "iteza de 367bps pentru compatibilitate cu placile "ec*i0 n a"anta2 al
7/24/2019 42381221 Solutia Linux de Conectare La Internet
6/40
conectarii cu TP fata de ,NC este pe lan+a faptul ca se pot realiza transmisii full-
duple$% adica 3667bps intr-un sens si 3667bps in celalat sens simultan0 Aceasta
facilitate nu este suportata de toate placile si nu poate fi folosita daca se foloseste un
@ ,1 necesitand un ITC@0 Aceasta "iteza este asi+urata intre oricare doua
calculatoarele care sunt in acelasi @ , sau pe acelasi cablu ,NC1 dar in cazul in care se
face trafic intre mai multe calculatoare suma "itezelor cu care se transmit datele nu poate
depasi aceasta "aloare0 In cazul unui ITC@ insa1 doua perec*i de calculatoare pot
comunica ambele cu 3667bps1 "iteza nu mai este limitata la suma "itezelor ci pe fiecare
cablu TP in parte0 Trebuie precizat faptul ca unitatea de masura pentru latimea de
banda este bitul (nu b&te-ul ca in cazul fisierelor)1 deci pe o cone iune de 3667bps "iteza
de transfer al unui fisier "a fi ma im 366 ;7bps1 o apro imare destul de buna fiind
367,/s (mai e ista informatii de control al transferului)0 !iteza de transfer in Internet este
data de minimul dintre latimile de banda disponibile pe diferitele tronsoane tra"ersate dede pac*ete intre locatii0 'e obicei "iteza in Internet este mult mai mica decat "iteza in
reteaua locala1 aceasta fiind de ordinul ,/s (#ilob&tes pe secunda)1 deci un up+rade de
la 367bps la 3667bps in reteaua locala nu creste decat "iteza de comunicatie in
interiorul retelei1 nu si "iteza de acces Internet0 !iteza de acces Internet este data de
canalul de comunicatie pana la pro"ider (care poate a"ea limitari fizice de "iteza) si de
banda pe care pro"iderul o aloca clientului0
Informatii &itale pentru conectarea la Internet# In momentul conectarii
calculatorului trebuiesc aflate cate"a date te*nice "itale pentru a putea folosi cone iunea0
Aceste informatii sunt Adresa IP% Netmas'% (ate)a*% Name-ser&er+e,# ostname-ul
(numele de *ost) se poate pune oricum1 dar daca e ista o inre+istrare 'N cu
corespondenta intre un nume de *ost si IP-ul pus1 este bine sa se seteze acel nume0 In
lipsa1 se poate pune orice nume1 urmat de domeniul or+anizatiei din care se face parte
calculatorul sau c*iar un domeniu ficti"0
Adresa IP este identificatorul unic cu care calculatorul "a fi recunoscut in Internet0
Este un numar de =: de biti cu fiecare +rupa de ; biti scrisa in zecimal si separate prin
punct (808)0 E 34=0::50
7/24/2019 42381221 Solutia Linux de Conectare La Internet
7/40
IP "a raspunde si se "a trimite un pac*et direct catre acea placa de retea0 'e e emplu un
calculator cu IP-ul 34=0::50
7/24/2019 42381221 Solutia Linux de Conectare La Internet
8/40
din IP si netmask si se calculeaza facand Gsau bit cu bitG intre IP si Gne+atul bit cu bitG al
netmask -ului0 7ai simplu1 in IP se fac 3 bitii care in netmas# sunt 6 asa cum pentru
adresa de retea ei sunt pusi pe 60 Adresa de broacast este ultima adresa din retea1
putandu-se calcula pentru subneturi pastrand pe primele = pozitii numerele din IP si pe a
patra pozitie punand numarul corespunzator urmatorului subnet minus 30 'eci pt0
IPD34=0::50
7/24/2019 42381221 Solutia Linux de Conectare La Internet
9/40
anumit IP (in cazul %%%0&a*oo0com e ista c*iar o lista de IP-uri asociate1 pentru
impartirea cererilor intre mai multe ser"ere)0 'e obicei un nume de *ost se rezol"a intr-un
sin+ur IP0
Testarea cone$iunii0 in primul rand trebuie "erificata cone iunea pana la
gateway 0 In primul rand trebuie "erificata cone iunea pana la +ate%a&0 e "a da un pin+
catre adresa de +ate%a&0 Indiferent daca platforma este Linu sau indo%s1 o
functionare a cone iunii este ilustrata prin afisarea timpului in care pac*etul de pin+ a
facut drumul 8dus-intors80 In caz contrar se afiseaza 8time out8 pe indo%s sau nu se
afiseaza nimic in cazul Linu -ului0 'aca acest test esueaza1 in c"asitotalitatea cazurilor
cone iunea este inutilizabila0 E ista cazuri rare in care gateway -ul este confi+urat (printr-
un fire%all) sa nu raspunda la pin+ (nerecomandabil) si cone iunea sa fie functionala0
Aceste cazuri sunt rare insa0 . comanda mai putin standard care e ista pe Linu si cu
care se poate "erifica indiferent de fire%all este arping 0 Prin ea se poate "erifica
cone iunea doar intre *ost-ul local si alt *ost accesbil la ni"el et*ernet (cum este si
gateway -ul)0 e bazeaza pe trimiterea unei cereri de ARP in retea1 intrebandu-se ce
placa de retea are acel IP 0 Protocolul ARP este indispensabil comunicarii1 daca un
calculator cu acel IP este accesibil la ni"el et*ernet1 atunci el "a raspunde0 . alta metoda
de dia+nosticare este "erificarea tabelei de ARP dupa ping 0 C*iar daca e ista un fire%all1
calculatorul spre care se da ping "a raspunde la cererea ARP 1 deci tabela ARP "a
contine corespondenta intre acel IP si adresa fizica (8 A# -address -ul8) placii de retea a
calculatorului cu acel IP 0 Tabela ARP se poate "edea pe Linu prin comanda 8arp Hna8
iar in indo%s cu comanda 8 arp -a 80 . modalitate mai puternica de depanare a retelei
este uilitarul de Linu tcpdump 0 Rulat cu "tcpdump $i eth%" de e emplu "a afisa cate"a
informatii (sursa1 destinatie1 port) despre fiecare pac*et care trece prin prima interfata de
retea (et*6)0 Pentru filtrarea informatiilor se pot da ar+umente mai comple e1 in care sa
se specifice ce tipuri de pac*ete sa se afiseze0 Ruland tcpdump de pe un calculator pe
care nu se face trafic in retea1 dar le+at la o retea in care se face trafic1 se "or obser"abroadcast-urile celorlate calculatoare care sunt le+ate in retea1 de e emplu cereri ARP 0
Astfel se poate "edea daca cone iunea e ista (cel putin intr-un sens1 spre calcularul de
pe care se fac teste)0 Astfel se poate si identifica dintre doua interfete care este et*6 si
care este et*3 (se "a pune cablul de retea in fiecare1 pe rand1 in timp ce se face
8tcpdump $i eth%"& In cazul in care se incearca un pin+1 c*iar daca le+atura intre interfata
si retea nu este functionala1 se "or obser"a totusi cereri ARP ale calculatorului local1 de
+enul "arp who has 'gateway( tell 'ip)local(" sau "arp who has 'ip)retea locala( tell'ip)local(" 0 Acestea nu trebuiesc confundate cu traficul pe care placa il obser"a din
retea0
7/24/2019 42381221 Solutia Linux de Conectare La Internet
10/40
In momentul in care le+atura pana la +ate%a& este functionala este foarte probabil
ca le+atura sa functioneze si in alta parte0 e poate incerca un ping la IP -urile ser"erelor
'N 0 !erificarea nu poate da informatii despre functionarea ser"erului 'N 1 dar poate
"erifica daca ser"erul este pornit si accesibil0 'aca si nameser"erele raspund1 se poate
incerca pin+ la un nume de *ost0 Este bine sa se inceapa cu un ping la o adresa
apropiata ( ping www&ici&ro)0 Pin+-ul ar trebui macar sa translateze numele de *ost in IP
(iar acesta sa apara pe ecran)1 c*iar daca *ostul este inaccesibil0 'aca comanda ping se
bloc*eaza fara sa afiseze IP -ul desinatie sau spune "invalid host name" inseamna ca
rezol"area de nume nu functioneaza0 .ri ser"erul (ser"erele) 'N sunt nefunctionale1 ori
este o problema cu confi+urarea 'N pe calculator0 e "a "erifica corectitudinea datelor
introduse1 in cazul Linu -ului in fisierul *etc*resolv&con+ 1 in cazul indo%s-ului in
"!tart*!ettings*#ontrol-Panel*Network* #P-IP*Properties* N!)con+iguration" 0 C*iar daca
rezol"area numelor nu functioneaza pentru primul *ost1 merita incercat si alt *ost care sestie ca functioneaza in 8foc continuu8 (e %%%0&a*oo0com)0 E ista posibilitatea ca
rezol"area de nume sa nu functioneze si din cauza faptului ca accesul la ser"erele 8root8
nu sunt accesibile de catre nameser"ere (e 0 cone iunea Internet nu este functionala)0
e "a incerca daca este posibil si cu un *ost din domeniul de care este responsabil acel
nameser"er (multe nameser"er-e nu sunt numai apelanti ai bazei de date distribuite1 ci
contin c*iar o portiune din acesta baza de date H +azduiesc un domeniu internet1 de
e emplu "unibuc&ro" 1 adica stie toate *osturile care se termina in "unibuc&ro" )0 'acarezol"area de nume nu functioneaza si se cunoaste un IP din e terior1 se poate incerca
ping la acel IP si daca nu functioneaza se poate da un 8 traceroute BIP 8 pe Linu sau
8tracert 'IP( 8 pe indo%s0 ltimul IP afisat este ultimul IP accesibil de pe calculatorul
local0 Este posibil ca le+atura intre acel ultim *ost (router) atins si urmatorul sa fie
nefunctionala1 sau *ostul urmator este nefunctional0 In functie de numarul de routere prin
care a reusit sa treaca pac*etul se poate estima unde este problema0 'aca o adresa
raspunde la pin+ catre numele sau (e 0 ping www&yahoo&com dar nu poate fi accesatadin bro%ser (Netscape1 Internet E plorer) cauza este foarte probabil sa fie o setare de
pro.y prin care bro%serul este instruit sa nu acceseze direct pa+inile1 ci sa le ceara unui
ser"er pro &0 In Netscape1 setarea de pro & se afla in
/dit*Pre+erences*Advanced*Pro.yes, iar in Internet /.plorer in 0iew*Internet
1ptions*#onnection&
7/24/2019 42381221 Solutia Linux de Conectare La Internet
11/40
Conectarea mai multor calculatoare la Internet
A"and un IP si o cone iune "alida la Internet1 se pune problema le+arii celorlalte
calculatoare din apropierea sa la Internet0 Probabil e ista de2a o retea pentru
comunicarea acelor calculatoare intre ele1 nu trebuie decat ca aceasta retea sa fie
conectata la Internet0 Pentru aceasta "a fi ne"oie de un router1 cea mai simpla solutiefiind folosirea unui PC ec*ipat cu doua placi de retea1 una spre iesirea Internet si cealalta
spre reteaua locala0 . solutie foarte buna este instalarea pe router a sistemului de
operare Linu 1 el oferind o multime de oportunitati precum +azduirea email-ului1 a unui
pro &1 +azduirea unei pa+ini de %eb1 al unui site ftp si protectia retelei interne fara
absolut nici un cost in afara costurilor *ard%are0 Cu putin mai multa memorie o masina
cat de cat decenta se poate folosi in acelasi timp si ca statie de lucru1 si c*iar sa se
lucreze remote pe ea de catre mai multi utilizatori0
Instalarea Linu$-ului
Imediat dupa bootarea cu C'-ul de instalare se solicita cate"a optiuni precum
interfata de instalare de tip +rafic sau te t0 'e obicei instalarea in interfata +rafica
consuma mai multe resurse1 deci instalarea in mod te t este mai rapida0 Alte optiuni
precum tipul de mouse1 tastatura1 diferenta fata de timpul $7T1 etc mai sunt cerute0 In
cazul in care se detecteaza o interfata de retea se cere si confi+uratia placii de retea ( IP,
netmask, gateway, nameserver -e1 nume de host )0 e mai cere setarea parolei deadministrator (root)1 unele distributii cerand sa se creeze si un user obisnuit (ne-root)0 Cel
mai important lucru (si oarecum mai delicat) este insa partitionarea si setarea punctelor
de montare a partitiei0 Pro+ramul de instalare "a intreba daca se pastreaza partitiile
e istente sau se face repartitionare0 La partitionare se "or ster+e partitiile e istente1 apoi
se "or creea una cate una partitiile1 de obicei cea de s%ap prima si cea care se monteaza
in 8/8 a doua0 e poate stabilii ca anumite directoare (e /*ome D directorul fisierelor
personale ale utilizatorilor) sa fie 8montate8 intr-o partitie separata0 ter+erea unei partitiicu informatii importante face e trem de dificila refacerea lor1 deci este ne"oie de multa
atentie0 .data cu stabilirea partitiilor pe care le "a folosi Linu -ul si a locului in care se "or
monta ele se "a cere permisunea de formatare a acestora0 In cazul in care partitia a fost
de2a formatata1 se poate trece peste formatare0 ormatarea se poate face cu sau fara
"erificarea *ard-dis#-ului0 !erificarea dureaza foarte mult (zeci de minute la *ard-dis#-uri
mari) dar asi+ura impotri"a defectiunilor fizice care pot compromite la un moment dat
sistemul0 In cazul in care *ard-dis#-ul a fost "erificat de curand impotri"a 8 bad-block -urilor
(zone de memorare nefolosibile)81 se poate trece peste "erificare0 In cazul in care nu se
ale+e formatarea1 instalarea "a continua normal1 nu se "or ster+e e"entuale fisiere
7/24/2019 42381221 Solutia Linux de Conectare La Internet
12/40
e istente1 cel mult se "or suprascrie cele care coincid ca si nume/localizare cu cele ale
sistemului care se instaleaza0 E ista si optiunea de up+rade care modifica doar fisierele
care s-au modificat de la "ersiunea anterioara1 dar nu este recomandata procedura0 In
plus nu se poate face decat de la "ersiunea anterioara din aceeasi distributie0
n alt lucru mai dificil este confi+urarea sistemului de 9-%indo%s0 'istributiile noi
detecteaza un numar mare de placi "ideo si monitoare1 dar in cazul in care sistemul nu
reuseste trebuie date informatii manual0 Cel mai dificil ar fi specificarea frec"entelor
monitorului1 de obicei nee istand cartea te*nica a acestuia0 e pot incerca toate
posibilitatile la rand1 incepand cu 8@i+* frec"enc& monitor F6@z)0 nele placi "ideo care
sunt suportate de ser"erul !$A nu au suport decat pentru :
7/24/2019 42381221 Solutia Linux de Conectare La Internet
13/40
(default se instaleaza doar ser"erul care suporta placa "ideo care a fost detectata)1 in
cazul unei sc*imbari a placii "ideo nefiind necesara instalarea dri"erului0
'aca totul a decurs bine1 dupa instalare sistemul se restarteaza si porneste
bootloader-ul care fara a se apasa nici o tasta porneste dupa un timeout noul sistem
instalat0 In cazul confi+urarii corecte a retelei se poate trece direct la "erificarea
cone iunii de retea0 In cazul in care ce"a nu functioneaza bine incepe tra"aliul de
depanare0 'aca e ista o a doua placa ea trebui confi+urata si ea0 iecare distributie are
utilitarul propriu de confi+urare (Read@at are 8linu conf/netconf81 use are 8&ast81 etc)0
Toate utilitarele sunt interfete catre pro+rame lo%-le"el care se pot apela din linie de
comanda sau dintr-un script continand astfel de comenzi0 In cele ce urmeaza se "a
discuta doar folosirea acestor comenzi lo%-le"el1 ele fiind +eneral "alabile in toate
distributiile1 spre deosebire de interfetele mai mult sau mai putin prietenoase0
Comenzi lo)-le&el de confi.urare retea
ifconfi. este comanda de confi+urare a interfetelor de retea0 8ifconfi+ -a8 afiseaza
interfetele acti"ate si confi+urarea lor0 In cazul in care output-ul nu incape intr-o pa+ina de
ecran1 se poate folosi comanda 8filtru8 8 more 8 care afiseaza output-ul pa+ina cu pa+ina
(i+con+ig $a2more )0 e poate folosi cu cale completa (/sbin/ifconfi+) daca directorul /sbin
nu este in lista de directoare in care se cauta e ecutabilele H "ariabila se en"iroment
PAT@)0 Informatiile afisate contin ip-ul asi+nat1 netmask -ul1 adresa broadcast 1 counteri depac*ete primite/trimise1 erori de mai multe tipuri1 utile in depanare0 . interfata care a fost
recunoscuta de #ernel se poate acti"a cu 8ifconfi+ et*6 inet Bip netmas# Bnetmas#
broadcast Bbroadcast (sau se inlocuieste et*6 cu et*31 et*:1 etc)0 . interfata "irtuala
(alias) se poate face pe o interfata inlocuind et*6 cu et*6 31 et*6 :1 etc)0 Interfetele
"irtuale nu folosesc decat in cazuri speciale cand se simuleaza printr-o placa de retea
fizica mai multe placi de retea0 Interfata lo este bine sa e iste in toate sistemele (c*iar
daca nu sunt le+ate la retea)0 Ea este o interfata "irtuala1 care doar returneaza pac*etele
trimise spre ea0 Este folosita pentru a simula prin ea conectarea de tip retea catre propriul
calculator (de e emplu se poate incarca o pa+ina de %eb de pe aceeasi masina dand
*ttp //local*ost sau *ttp //3:F060603)0
route este comanda de confi+urare a routelor (routele controland directia in care
se trimite un pac*et spre o oarecare +rupa de destinatii)0 8route -n8 afiseaza routele
curente1 e"entual se poate folosi 8/sbin/route -n more8 cu pa+inarea output-ului0Routele
contin pe linie adresa retelei1 gateway -ul pentru a a2un+e la acea retea1 netmask -ul
retelei1 interfata prin care se a2un+e la subnet si alte informatii mai putin utile depanarii0
Ideea ar fi ca pentru fiecare pac*et se parcur+e fiecare linie de sus in 2os1 pana cand
7/24/2019 42381221 Solutia Linux de Conectare La Internet
14/40
destinatia facuta Gsi bit cu bitG cu masca de retea da adresa retelei din stan+a0 In acel
moment se e pediaza pac*etul pe interfata scrisa in dreapta1 catre placa de retea care
raspunde la cererea de ARP pentru IP -ul de +ate%a&0 ltima linie contine la netmas# si
adresa de retea 8606060681 deci orice IP "a face "match" cu aceasta re+ula1 pac*etul cu
destinatie spre care nu e ista routa e plicita "a pleca spre "de+ault gateway" 0 . routa
care are trecut la gateway 6060606 este o routa "directly connected 8 adica IP -urile din acel
subnet sunt accesibile direct (la ni"el et*ernet prin acea interfata)0 . routa spre un subnet
se adau+a cu comanda "route add $net 'subnet( netmask 'netmask( gw 'gateway(" 0 .
routa catre un *ost se adau+a cu comanda 8route add -*ost B*ost +% B+ate%a& de"
Bet* 8 sau 8direct pe interfata8 cu "route add -host dev 'eth.(" 0 In #ernelurile noi routa
catre IP -urile din acelasi subnet cu IP -ul/IP -urile proprii se pune automat la ridicarea
interfetei1 prin acea interfata0 In +eneral nu trebuie pusa decat routa default prin "route
add de+ault gw 'gateway(" 0 pre B+ate%a& trebuie sa e iste o routa "direclyconnected" 1 daca gateway -ul este standard1 un IP din acelasi subnet cu IP -ul
calculatorului1 aceasta routa e ista0 In caz contrar se poate pune o routa catre acel *ost
pe acea interfata dar o asemenea necesitate este +enerata in +eneral de proiectari
defectuase ale retelei sau stari de tranzitie0
Studiu de caz
Presupunem ca e ista un cablu TP pana la un laborator dotat cu :6 calculatoare
care au instalat sistemul de operare indo%s1 le+ate prin cablu ,NC (coa ial) care trece
pe la fiecare calculator0 Este asi+nat un IP (34=0::50
7/24/2019 42381221 Solutia Linux de Conectare La Internet
15/40
caractere cu tasta 8 80 e "a trece in modul 8insert8 apasand tasta 8i81 se "or face
adau+arile si se "a sal"a si iesi din editor trecand in mod 8comanda8 cu tasta 8Esc8 si
apasand ulterior 8 %J80 n alt editor (mai intuiti"1 semanand cu "ec*iul ord tar) este 2oe
(2oe /etc/resol"0conf)0 e "a edita fisierul si se "a iesi cu 8CtrlK 198 H se apasa simultan
Ctrl si 1 apoi se elibereaza si se apasa 90 n *elp mai amanuntit se obtine cu
8CtrlK 1@80 'aca e ista instalat utilitarul "mc" (o interfata te t semanand cu norton
commander) atunci se poate folosi editorul sau 8mcedit80
Pe statiile indo%s se "a confi+ura adresa de IP 34:035;03630 ( intre : si :)1
netmas# :
7/24/2019 42381221 Solutia Linux de Conectare La Internet
16/40
ser"erul din Internet0 Acest mecanism se preteaza cel mai bine la cone iuni TCP/IP dar
functioneaza fara probleme si cu pac*ete 'P si IC7P0 in+urele probleme care apar
sunt in cazul in care o aplicatie din spatele Linu -ului ne+ociaza prin le+atura stabilita un
alt port de comunicare decat cel de pe care a plecat cone iunea initiala0 Linu -ul nu
poate afla despre acest port decat daca cunoaste protocolul folosit in ne+ocierea portului
(e 0 TP)0 In acest caz ser"erul din Internet considera ca trebuie sa se conecteze cu cel
cu care a discutat (din punctul lui de "edere a discutat cu Linu ul)0 Linu ul nu poate
for%arda cererea de desc*idere a cone iunii "enita din Internet spre masina din spatele
Linu ului ci o considera o cone iune "enita spre sine1 si o respi+e0 Pentru protocoalele
foarte folosite ( TP de e emplu) e ista module speciale care urmaresc ne+ocierea intre
aplicatii si for%ardeaza cone iunea de feed-bac# la calculatorul 8masJuaradat80 Este
e"ident ca pe un calculator care iese in Internet prin mas
7/24/2019 42381221 Solutia Linux de Conectare La Internet
17/40
- make menucon+ig H se confi+ureaza ceea ce sa contina "iitorul #ernel0E ista o
confi+uratie default de la care se pleaca si care se modifica in functie de ne"oi0 Important
este ca procesorul ales la confi+urare sa nu fie mai puternic decat cel de pe masina pe
care se instaleaza0 In plus1 daca e ista de"ice-ul speciale (scsi1 placi et*ernet) trebuiesc
incluse in confi+uratie0 E ista cate"a facilitati care se pot include in #ernel in plus fata de
confi+uratia default (de e 0 support pentru partitia de 'os/ indo%s)1 dar ele nu sunt in
+eneral neaparat necesare pentru functionarea sistemului0 Pe de alta parte ma2oritatea
optiunilor incluse nu fac sistemul nefunctional1 cel mult maresc #ernelul ne2ustificat0
Trebuie a"ut +ri2a sa nu se includa optiunea 8 ernel autoreconfi+uration8 pentru ca in
acel moment "iitorul #ernel "a incerca sa booteze din retea0 . pri"ire prin *elp-ul fiecarei
optiuni este bine"enita0 E ista si o "ersiune +rafica a pro+ramului de confi+urare ( make
.con+ig )
- make dep $ se refac dependintele intre module
- make b=Image $ se compileaza #ernelul0 Acesta "a fi depus in
arc*/i=;5/boot/bzIma+e 0 ernelul este comprimat cu autoe tract pentru micsorarea
dimensiunii1 trebuind sa poata fi reprezentat pe dis# intr-un bloc conti+uu0 'upa
compilare el se muta in alt director (uzual /boot) si se introduce in /etc/lilo0conf o intrare
catre el dupa modelul celor de2a e istente0 8 label" este numele prin care se poate ale+e
acel #ernel din lilo1 root reprezinta partitia pe care o "a monta ca 8/81 image reprezinta
#ernelul0 read-only se specifica pentru ca sistemul trebuie sa monteze partitia root read
onl&1 sa starteze pro+ramul /sbin/init1 care "erifica inte+ritatea partitiei si abia apoi face
8remontarea8 read-%rite80 7ai multe optiuni se pot trimite #ernelului la bootare cu
optiunea append0 'aca inainte de montarea partitiei este necesara inserarea unor
module care sa recunoasca partitia1 se foloseste "initrd" 1 montandu-se un fisier ca partitie
8/81 din care se insereaza modulul si se monteaza apoi partitia de pe dis#0
- make modules H se compileaza modulele in cazul in care unele optiuni au fost
incluse ca module0 uportul pentru toate placile de retea se poate compila astfel fara sa
mareasca dimensiunea #ernelului1 urmand sa fie incarcat cel de care este ne"oie0
- make modules)install H se instaleaza modulele intr-un director si se realizeaza si
o *arta a dependintelor intre ele
- ma#e install H face alte setari pentru noul #ernel
- lilo H reinstaleaza lilo cuprinzand si noul #ernel
7/24/2019 42381221 Solutia Linux de Conectare La Internet
18/40
1ootare fortata
Lilo este aplicatia care se starteaza de catre bios la pornirea calculatoruluil0 Este
un pro+ram simplu in care se poate ale+e una din mai multe optiuni0 iecare optiune
reprezinta un #ernel si anumite optiuni (in afara cazurilor in care se starteaza sistemul de
pe o partitie non-Linu )0 >ilo incarca #ernelul si ii transmite cate"a optiuni printre care
partitia pe care sa o monteze ca root (8 * 8) si pro+ramul pe care sa il lanseze din acea
partitie0 Pentru un #ernel cu label 8 lin" se poate da in lilo 8 lin root?*dev*hda6 init?*bin*bash
ro80 In acest caz linu ul "a porni de pe partitie pro+ramul de s*ell (/bin/bas*) si "a e ista
o consola de administrator0 La bootarea normala se starteaza pro+ramul /sbin/init1 care
lanseaza toate celelalte pro+rame precum pro+ramul de lo+in1 daemonii (ser"erele)1 etc0
Partitia astfel montata este read-onl&1 de pe ea se poate rula un pro+ram care sa "erifice
si sa repare o partitie a2unsa inconsistenta din cauza unei caderi de curent de e emplul
prin 8/sbin/e:fsc# H& /de"/*da:80 e poate trece in read-%rite prin "mount -n $o remount,
rw *" pentru a face anumite modificari (sc*imba parola de root daca cea "ec*e a fost
uitata) & Inainte de restartare este bine sa se treaca partitia in read-only prin "mount -n $o
remount, ro *"& Este indicat sa se ruleze si comanda sync pentru sal"area din memorie a
bufferelor pe dis#0
e unde se o!tin adresele IP routa!ile
Adresele routabile le asi+neaza administratorul de retea al institutiei1 din spatiul deadrese pe care il are la dispozitie de2a sau pe care il obtine de la RIPE sau de la un
8redistribuitor8 de adrese local1 numit LIR1 de e emplu RNC (*ttp //%%%0rnc0ro)0 RIPE
este autoritatea europeana care aloca IP-uri participantilor la Internet1 astfel incat sa nu
e iste un IP asi+nat la doi utilizatori diferiti0 RIPE aloca unor 8 >ocal Internet Registry"
@>IR spatii de adrese pe care acestia le asi+neaza catre utilizatori0 patiul de adrese
IP!> ("ersiunea actuala de protocol IP1 cu adrese IP pe > octeti) este asi+nat in proportie
mare1 astfel ca RIPE cere o ar+umentatie solida asupra lor1 in cazul in care este posibila
o solutie tip mas
7/24/2019 42381221 Solutia Linux de Conectare La Internet
19/40
separa de Internet este trimis catre default +ate%a&0 Astfel se face ca un pac*et spre o
destinatie ine istenta in Internet se duce prin cate"a routere1 pana la un 8core8 router
care cunoaste e act ce clase de adrese sunt accesibile in Internet si abia in acel punct
pac*etul este dropat si uzual se semnaleaza printr-un pac*et IC7P special faptul ca nu
e ista routa catre acea destinatie0
omenii NS
Pentru a putea fi accesat din Internet printr-un anumit nume de *ost (nu numai
prin IP) trebuie sa e iste o 8intrare 'N 8 continand acel nume si pointand catre IP-ul tau0
Aceasta inre+istrare se realizeaza pe un nameser"er responsabil cu un anumit domeniu1
in care se doreste acel nume de *ost0 'e e emplu daca se doreste numele
www&unibuc&ro trebuie realizata inre+istrarea pe nameser"erele care sunt responsabile
pentru acest domeniu (standardul cere ca pentru fiecare domeniu sa e iste cel putin
doua nameser"ere1 pentru bac#up in cazul in care unul din ele de"ine nefunctional)0 In
cazul in care domeniul nu e iste (de e emplu se doreste numele www&ecuatii&ro)
domeniul trebuie creeat pe nameser"erul care se ocupa de domeniile &ro" 0 Autoritatea
care creeaza domenii "&ro" este tot RNC (cea care poate asi+na si IP-uri)0 Pentru un pret
modic1 care ii asi+ura autofinantarea1 RNC poate dele+a catre doua nameser"ere un
anumit domeniu0 In acel moment orice modificare din acel domeniu se face pe cele doua
nameser"ere1 e"entual se pot face subdomenii0 'aca unul din nameser"ere poate fi usor
Linu -ul folosit si ca router instaland un pro+ram din distributia standard numit named 1
celalalt nameser"er nu este intotdeauna disponibil0 e poate folosi un nameser"er al
pro"iderului sau c*iar ambele nameser"ere ale pro"iderului (orice pro"ider care se
respecta are macar : nameser"ere)0 e pot confi+ura nameser"erele pro"iderului sa
incarce informatiile despre domeniu din nameser"erul proprietarului domeniului0
Informatiile despre un domeniu mai sunt numite si 8zone8 iar nameser"erul confi+urat sa
incarce 8zona8 de la alt nameser"er este numit 8sla"e8 fata de cel de pe care se incarca
zona care este numit 8master8 pe respecti"a zona0 Aceste denumiri sunt relati"e1 un
ser"er 8master8 poate fi 8sla"e8 la ransul sau altui nameser"er0 Rezol"area unui domeniu
se poate "erifica cu comanda host& 'e e emplu 8 host www&yahoo&com" rezol"a adresa
de *ost in IP1 8 host $t m. yahoo&com 8 afiseaza ser"erele de email care deser"esc
domaniul &a*oo0com1 "host $t ns yahoo&com" afiseaza nameser"erele care sunt
responsabile cu domeniul 8 yahoo&com" 0 Aceste raspunsuri sunt cerute de la
nameser"erul setat default (in *etc*resolv&con+ )1 in cazul in care se doresc informatii de la
un alt nameser"er se adau+a nume sau la sfarsitul comenzii1 de e emplu 8 host $t nsunibuc&ro ns&rnc&ro""erifica la RNC pe ce nameser"ere sunt definite informatiile despre
domeniul unibuc&ro0 Acest lucru este util deoarece un nameser"er in care este confi+urat
7/24/2019 42381221 Solutia Linux de Conectare La Internet
20/40
un domeniu si este declarat master pe acesta raspunde din fisierul propriu de confi+uratie
pentru acest domeniu1 c*iar daca el nu este inre+istrat in Internet ca responsabil pentru
domeniu0 Restul Internetului (cei care nu il folosesc ca nameser"er direct) nu il "or
intreba despre domeniu si "or a"ea o alta "iziune asupra domeniului (data de realele
nameser"ere responsabile)0
Ser&erul de email
In momentul in care e ista un domeniu1 se pot creea si casute postale de tip
userBdomeniu& Pentru a putea folosi aceste adrese de email trebuie sa e ista in zona
care se refera la acest domeniu o inre+istrare de tip 8IN 798 (inre+istrarile despre IP-ul
unui *ost sunt de tip 8IN A8)0 Ip-ul care este trecut in acesta inre+istrare "a fi accesat pe
portul :< pentru a i se li"ra emailul pentru acest domeniu0 e pot definii mai multe intrari
791 pentru cazul in care unul din ser"ere nu este disponibil0 E ista prioritati1 numarul mic
inseamna prioritate mai mare0 er"erul de email este si el in distributiile standard de
Linu 1 e ista c*iar mai multe (sendmail1 Jmail1 postfi )0 copul ser"erului de email este
sa primeasca si sa trimita mesa2e email0 7esa2ele pot fi catre domeniul pentru care are
definite casutele postale sau pot fi mesa2e trimise de utilizatori (detinatorii casutelor
postale) catre alte ser"ere de email din Internet0 Actiunea prin care un ser"er de email
primeste un mesa2 care nu ii este adresat pentru a-l for%arda mai departe se numeste
"relay"& er"erul de email trebuie sa faca "relay" doar pentru utilizatorii care au casute
postale acolo1 altfel cine"a poate trimite email nesolicitat ( "spam" prin acel ser"er email1
pentru a-si ascunde identitatea fata de destinatar0 Primirea emailului si trimiterea lor sunt
lucruri distincte1 pe care le poate face un sin+ur ser"er de email sau doua separate0
Emailul primit se poate citi local de pe ser"er cu un client de email ( "mail", "pine" sau se
poate citi remote cu un client special de email prin P.P= sau I7AP din Netscape
Communicator1 .utloo# E press1 etc0 Trimiterea se face din acesti clienti1 specificand-
use un ser"er0 'e remarcat faptul ca daca in cazul citirii emailului se cere un username si
o parola1 in cazul trimiterii nu se cere uzual "reo parola1 si c*iar se pot trimite emailuri cu
orice sursa1 sin+ura cerinta fiind ca domeniul adresei sursa sa se poata 8rezol"a8 H sa
e iste pentru el o intrare 87980
Pro$*
'e multe ori1 mai multi utilizatori acceseaza aceleasi pa+ini1 facand acelasi
transfer de mai multe ori inutil0 Pentru a se folosi mai eficient cone iunea la Internet s-a
proiectat un ser"er "pro.y" care are rolul de a prelua cererile de la browser si de a
intoarce pa+ina ceruta1 fie accesand Internet-ul1 fie accesand "cache" -ul pe care il face
pe *ard-dis# cu pa+inile accesate anterior0 e fac "erificari ale datei de modificare pentru
7/24/2019 42381221 Solutia Linux de Conectare La Internet
21/40
pa+inile care au termen de e pirare0 Pro &-ul poate fi si o "arianta la mas
7/24/2019 42381221 Solutia Linux de Conectare La Internet
22/40
treaca printr-un fire%all (de obicei un router) care sa contina niste re+uli stricte in pri"inta
pac*etelor care intra din Internet in retea locala (uneori si pentru pac*etele care pleaca in
Internet)0 Acest fire%all poate fi facut foarte usor pe routerul Linu 1 care are deci inca un
rol in retea0 Trebuie spus ca nu se poate aprecia securitatea dupa e istenta sau nu a
fire%all-ului0 E ista fire%all-uri mai bune (mai restricti"e) si mai putin bune (mai
permisi"e)0 ire%all-urile mai restricti"e pot adau+a anumite dificultati pentru utilizatori (de
e emplu accesul la TP)1 de aceea c*iar a"and fire%all sistemul poate fi totusi "ulnerabil
la anumite atacuri0 E ista doua e treme1 fire%all-ul care permite orice (ec*i"alent cu lipsa
lui) si fire%all-ul care nu permite accesul niciunui pac*et (ec*i"alent cu intreruperea
cablului intre reteaua locala si Internet0 Acest ultim caz este complet si+ur din punct de
"edere al securitatii dar nu permite nici accesul in Internet dinspre reteaua locala0 'e aici
se poate pleca insa1 permitand pe rand numai pac*etele care sunt neaparat necesare0
Cele mai utilizate atacuri sunt de tip 'en& of er"ice ('o ) si de tip 8remote
s*ell80 Primul tip de atac urmareste aducerea in stare de nefunctionare a sistemului1
supraincarcand-ul de obicei1 cel de-al doilea urmareste accesul la resursele sistemului1
fiind mai destructi"0 Atacul 'o se poate face de e emplu trimitand cereri foarte multe
unui ser"er0 'e e emplu se se poate face un +lood (inundare) cu pac*ete de desc*idere
a cone iunii ( MN)0 istemul aloca resurse pentru fiecare cone iune1 dar cone iunile sunt
abandonate desc*ise0 In scurt timp tabela de cone iuni creste foarte mult1 la fiecare
pac*et trebuind facute un numar de operatii proportional cu numarul de cone iuni0 'aca
al+oritmul de cautare nu este optimizat sistemul de operare poate sucomba in scurt timp0
In plus1 daca aplicatia-ser"er atacata desc*ide o instanta a sa pentru fiecare cone iune1
"a umple foarte repede memoria disponibila0 In cazul in care numarul de conectari este
limitat se poate prote2a incarcarea sistemului1 dar il face sa respin+a si cone iuni "alide0
'aca atacul "ine de pe o IP-sursa fi se poate pune o re+ula in fire%all care sa respin+a
aceste pac*ete1 dar daca atacul "ine de pe mai multe surse (false) nu se poate face
decat restrictionarea accesului de la un numar de IP-uri prestabilite0 In cazul unui ser"er%eb acest lucru ec*i"aleaza cu nefunctionarea sa0
'e obicei protectiile pentru atacuri 'o sunt dificil de facut1 aceste atacuri umplu
de obicei banda catre Internet a celui atacat1 facand-o impracticabila1 sin+ura sansa este
identificarea atacatorului si reclamarea sa la pro"iderul sau0 'e obicei atacul se face de
pe un ser"er care nu ii apartine1 pe care a obtinut acces prin mi2loace nele+ale1 deci
proprietarul ser"erului poate fi atentionat sa ii in+radeasca accesul0 Totusi1 atacurile 'o
nu sunt e trem de multe1 a"and in "edere ca se presupune ca trebuie sa e iste omoti"atie1 o razbunare (se practica intre utilizatorii de c*at in momentul in care se cearta
dintr-un oarecare moti")0 Pentru identificarea unui astfel de atac in Linu se pot spiona
7/24/2019 42381221 Solutia Linux de Conectare La Internet
23/40
pac*etele care "in din Internet pe interfata (8 tcpdump $i eth% $n" & Pentru atacurile cu
desc*idere de cone iuni se poate "erifica si tabele cu cone iuni desc*ise prin "netstat $
na"&
Atacurile de tip 8 remote shell" sunt mai complicate1 dar consecintele lor sunt mai
+ra"e0 copul atacului este obtinerea pri"ile+iului de administrator pe un calculator1 deci
accesul deplin la resursele acestuia0 Ca scop intermediar poate fi obtinerea unui cont de
utilizator obisnuit1 urmand ca atacul sa continue 8din interior80 n astfel de acces se poate
obtine fie prin autentificare cu un username/pass%ord "alide1 fie 8pacalind8 un ser"er care
contine o +reseala de pro+ramare0 Primul caz este mai putin probabil1 el poate fi e"itat
instruind utilizatorii sa nu instraineze parolele lor de acces si sa nu se conecteze 8din
Internet8 printr-o metoda necriptata0 'e multe ori pe parcursul le+aturii se afla pro+rame
care spioneaza cone iunile si stoc*eaza parolele trimise in clar0 Este si cazul accesului la
email prin P.P=0 'aca parola de autentificare la casuta postala este aceeasi cu a
utilizatorului de pe ser"er1 parola poate fi folosita pentru accesul din e terior0 .
posibilitate de protectie este si limitarea accesului s*ell din e teriorul retelei doar cu
anumite surse0 . posibilitate mai speciala de interceptare a parolelor c*iar daca sunt
cr&ptate printr-un al+oritm cu c*ei publice este " an in the midle attack" 0 'aca nu se
realizeaza la prima conectare insa1 clientul care se conecteaza criptat (de e 0 ssh ) "a
detecta sc*imbarea c*eii publice a ser"erului si "a afisa un a"ertisment0 Este posibil ca
acest a"ertisment sa pro"ina din reinstalarea ser"erului ssh 1 caz in care se poate ster+e
inre+istrarea clientului din G &ssh*know)hosts G0
Accesul prin pacalirea unui pro+ram pare la prima "edere putin probabil1 dar
practica a demonstat ca astfel de atacuri sunt cele mai periculoase0 7a2oritatea se
bazeaza pe "bu++er over+low", adica trimiterea unor date peste capacitatea bufferului
definit in pro+ram0 'aca nu e ista o "erificare a datelor care se copiaza in buffer1 datele
care sunt in plus sunt scrise in memorie (in sti"a pro+ram de e emplu) peste o portiune
de pro+ram e ecutabil0 Cand e ecutia pro+ramului a2un+e in acel loc1 pro+ramul e ecuta
acea instructiune (de e emplu desc*iderea unei sesiuni shell )& Cum ma2oritatea
ser"erelor ruleaza cu pri"ile+ii de administrator ( root )1 shell -ul obtinut "a a"ea si el
pri"ile+ii absolute0 E ista si alte posibilitati de pacalire1 dar dintre toate aceasta este cea
mai folosita0 Ca protectie este ne"oie in primul rand ca "ersiunile de pro+ram sa fie cat
mai noi1 bu+-urile descoperite se repara in noi "ersiuni1 la scurt timp dupa descoperire0 In
plus1 cu cat e ista mai putine ser"ere accesibil din Internet1 cu atat este mai mica
probabilitatea sa e iste unul 8atacabil80 n sistem fara nici un ser"iciu/ser"er ruland estee trem de si+ur c*iar si fara fire%all1 din pacate este ne"oie sa e iste anumite ser"icii
lansate0 'aca accesul este necesar doar din reteaua locala (citire email prin P1P5 ) se
7/24/2019 42381221 Solutia Linux de Conectare La Internet
24/40
poate pune un fire%all care sa nu permita accesul decat din reteaua locala0 'aca accesul
se face si din e terior (ser"er email care trebuie sa primeasca mesa2e) nu se poate face
restrictionarea accesului1 trebuie a"ut +ri2a ca ser"erul in sine sa fie foarte si+ur1 e"entual
se poate pune separat ser"iciul nesi+ur pe un alt calculator decat fire%all-ul1 asfel incat
un posibil atac reusit impotri"a acestuia sa nu puna in pericol intrea+a retea0 Lo+-urile
sunt de asemenea utile pentru detectarea incercarilor de intruziune1 unele din ele putand
fi descoperite inainte sa reuseasca0 'e obicei hacker -ii stre+ lo+urile pentru a nu se
descoperi sursa atacului1 deci o idee buna este e portarea lo+-urilor pe un ser"er fara
acces din e terior0
'upa securizarea ser"iciilor oferite1 fire%all-ul "ine ca o protectie suplimentara1
putand restrictiona accesul la diferite ser"icii de la anumite surse si face mai dificila
instalarea de catre un *ac#-er care a spart sistemul a unui ser"er care sa-i permita sa
patrunda in "iitor in sistem c*iar daca parolele se sc*imba si problema de securitate este
rezol"ata0 El "a trebui sa modifice fire%all-ul astfel incat sa permita accesul la ser"erul
sau1 ceea ce se poate obser"a mai usor0 ire%all-ul este in principal o metoda de
protectie a calculatoarelor din spatele sau1 care pot fi mai nesi+ure ca securitate
( indo%s) sau care ruleaza ser"icii care nu sunt updatate la ultima "ersiune0 In plus1
e istenta unor re+uli de 8'R.P8 a pac*etelor care nu sunt adresate ser"iciilor instalate
poate face mai dificila scanarea tuturor porturilor in cautarea unuia mai putin securizat0
canerul trebuie sa intuiasca dupa cat timp trebuie sa considere lipsa raspunsului ca
lipsa a accesului la port1 in mod default sistemul da un feedbac# ne+ati" care da
posibilitatea pro+ramului de scanare sa treaca mai departe0 Ca re+ula1 cu cat se dau mai
putine informatii in momentul in care accesul este restrictionat1 cu atat este mai bine0
'aca un pro+ram de conectare spune cand este userul ine istent si cand este parola
+resita1 un hack -er poate scana pana +aseste un user1 apoi poate incerca mai multe
parole pentru aceste0 In cazul in care nu se specifica daca userul e ista1 hack -erul trebuie
sa incerce combinatii user/pass%ord1 deci comple itatea spar+erii prin aceast metodacreste foarte mult0 e recomanda si consultarea pe Internet a listelor de discutie pe care
se publica bu+-uri noi descoperite care afecteaza securitatea ("ezi
*ttp //ms+s0securepoint0com/bu+traJ/ 1 *ttp //%%%0securit&focus0com/ )0 Noutatile se pot
primi automat prin email1 aceasta "arianta fiind foarte con"enabila0
2ire)all-ul in Linu$
In Linu fire%all-ul este implementat printr-un sistem de 8 chain -uri80 E ista trei
chain -uri default input, output si +orward 0 Prin aceste c*ain-uri se considera ca trec
pac*etele1 chain -urile continand suite de re+uli prin care pac*etul poate fi acceptat sau
nu sa treaca prin acel c*ain0 In #ernel-ul :0:0 orice pac*et care "ine pe o interfata spre
7/24/2019 42381221 Solutia Linux de Conectare La Internet
25/40
linu trece prin c*ain-ul input 0 .rice pac*et care pleaca pe o interfata trece prin c*ain-ul
output 0 In plus1 pac*etele care tranziteaza un router catre o alta destinatie trec prin c*ain-
ul +orward 0 In #ernelul :0>0 pac*etele care nu sunt destinate routerului sau care nu sunt
ori+inate de router nu trec prin c*ainurile INP T si . TP T1 ci doar prin .R AR'0 e
obser"a faptul ca in #ernelul :0>0 c*ainurile au numele modificat in ma2uscula0
In ambele cazuri1 pac*etele trec prin c*ain-uri0 C*ain-urile contin o suita de
perec*i re+ula-actiune si cate o re+ula default0 La inceput c*ain-urile nu au decat re+ula
default care este ACCEPT1 deci toate pac*etele sunt acceptate0 In chain -uri se pot
adau+a di"erse re+ului bazate pe informatii din *eaderul pac*etului (IP1 port1 etc) si
interfata pe care a "enit/pleaca0 iecare re+ula contine o conditie si o decizie pentru
pac*etele care se potri"esc (8 +ac match" ) pe acea re+ula0 Re+ulile se parcur+ in ordine
de catre fiecare pac*et1 in cazul in care un pac*et nu a 8facut matc*8 pe nici o re+ula1 i se
aplica re+ula default0 'e e emplu un fire%all care nu accepta nici o cone iune TCP/IP
"enita din Internet (pe interfata et*6) are o sin+ura linie
ipchains $I input $i eth% $p tcp $y $j /ND
'e fapt re+ula spune ca pentru pac*etele TCP care au bitul sMn (de cerere
desc*idere cone iune) setat sa se ia decizia de 'ENM (adica pac*etul se 'R.P-eaza)0
E ista posibilitatea sa se trimita o a"ertizare despre filtrare sub forma unui IC7P 8admin
filter8 inlocuind 'ENM cu RE ECT0 Celelalte pac*ete (de e emplu pac*etele MN carepleaca in e terior) nu "or face matc* pe aceasta re+ula si "or intra in re+ula default
(ACCEPT)0 'aca dorim ca totusi de la adresa 34=0::50
7/24/2019 42381221 Solutia Linux de Conectare La Internet
26/40
Trebuie a"ut in "edere ca daca intr-un fire%all se da 'ENM la toate pac*etele care
"in pe interfata din Internet1 atunci nu "or putea "eni nici pac*etele de rapuns la cererile
din interior0 olutia este deci sa se filtreze pac*etele MN (dintr-o cone iune sin+urul
pac*et care are bitul MN setat este pac*etul de desc*idere a cone iunii)0 iltrarea in
cazul 'P-urilor este mai comple a1 ar trebui stabilit de 'P-uri sunt necesare (de obicei
doar acces 'N pe portul $n" sau cu "ipchains $> $n $v"
(cu informatii suplimentare1 de e emplu numarul de matc*-uri facute pe fiecare re+ula)0
ire%all-ul se poate +oli cu comanda 8 ipchains -E 80 Atentie1 un c*ain +ol nu "a permite
trecerea pac*etelor daca are politica default 'ENM1 de aceea este recomandat ca in loc
de sc*imbarea politicii default sa se appendeze la sfarsitul sirului de re+uli o re+ula de
'ENM pentru orice
ipchains $A input $j /ND
Cum s-a obser"at de2a1 in loc de ACCEPT1 'ENM1 RE ECT pot e ista si alte
decizii mai speciale1 de a masJuarada cone iunea (-2 7A O) sau de a redirecta pac*etul
spre un port local (-2 RE'IRECT Bnumar port )0 7ai multe informatii despre confi+urarea
fire%all-ului cu ipc*ains se pot afla din manualul sau ( "man ipchains" 0 Confi+urarea cu
iptables este asemanatoare1 oferind in plus si alte facilitati0
7/24/2019 42381221 Solutia Linux de Conectare La Internet
27/40
PARTEA A 3UA
- Reprezentare fire)all -
Introducere
.data cu aparitia Internet-ului care a interconectat retelele locale a numeroase
firme si institutii1 problema securitatii datelor impotri"a accesului neautorizat a de"enit
mult mai acuta0 Informatii e trem de importante sunt e puse acum nu numai accesului
neautorizat din incinta institutiei1 ci si accesului din afara sa1 practic din orice colt al lumii0
n posibil atacator poate accesa date cu caracter strict secret1 poate modifica informatii
e trem de importante (sume de bani din conturi) sau pot distru+e informatii care e ista
intr-un sin+ur e emplar0 El nu trebuie sa patrunda in incinta institutiei1 trebuie doar sa
pacaleascaQ sistemele de securitate ale "ictimeiQ0 istemele de securitate sunt "ariate1
cea mai cunoscuta fiind prote2area accesului cu username si parola0 Cel care doreste sa
acceseze o anumita informatie trebuie sa-si introduca username-ul si o anumita parola1
altfel i se refuza accesul0 'e multe ori insa aceasta protectie nu este suficienta1 cine"a
poate incerca mai multe parole1 a"and sanse sa o +*iceasca pe cea corecta0 istemele
"or considera de multe ori ca utilizatorul a tastat +resit sau a incurcat parola cu alta1 deci
"a permite mai multe incercari0 E ista si sisteme cu blocarea accesului acelui username
in cazul in care parola este introdusa +resit de un numar de ori0 Totusi1 protectia tot nu
este foarte si+ura1 parola poate intra in posesia unui rau"oitor din cauza ne+li2entei unui
utilizator care a scris-o pe un carnetel si atacul poate fi lansat din oricare colt al Internet-
ului1 fara a fi necesar accesul in incinta institutiei0 Parola poate fi interceptata si pe
parcursul transmiterii ei prin medii care nu sunt sub 2urisdictia respecti"ei institutii1 in
cazul in care accesul se face din afara retelei locale0 Te*nicile cr&pto+rafice moderne fac
e trem de dificila interceptarea unui parole1 dar nu imposibila0 Cu al+oritmii cunoscuti
decriptarea ar dura ani sau zeci de ani1 dar pot apare al+oritmi mai performanti care sa
reduca timpul de decriptare la limite de timp rezonabile1 astfel incat un atac sa fie posibil0
e impune deci o solutie mai si+ura1 o protectie in plus0 nele institutii au ales ca
unele zone din reteaua lor sa nu fie le+ata de loc la Internet (de e emplu bancile)0
Impreuna cu securitatea accesului in Institutie aceasta protectie este destul de eficienta0
Totusi1 unele institutii prin insasi natura acti"itatii lor au ne"oie sa fie conectate la Internet
pentru a receptiona informatii sau c*iar pentru a oferii informatii in Internet (prezentarea
produselor firmei cu preturile aferente de e emplu)0 C*iar daca informatiile circula intr-un
sin+ur sens1 nu se poate intrerupe transmiterea de informatii in celalalt sens1 deoarece
comunicarea presupune e istenta unui feed-bac# de la destinatar1 pentru a se
7/24/2019 42381221 Solutia Linux de Conectare La Internet
28/40
retransmite e"entual portiuni de informatie distruse pe drumul dintre sursa si beneficiar0
olutia ar fi deci supra"e+*erea informatiilor care se sc*imba intre reteaua locala si
Internet1 astfel incat sa nu se accepte incercari de conectare cu sursa din afara institutiei
sau sa se accepte doar din anumite puncte ale Internetului0 Accesul se poate restrictiona
si diferentiat pe ser"icii1 de e emplu pe un computer e ista informatii publice accesibile
prin sistemul FFF si informatii confidentiale accesibile prin E P 0 e poate da accesul
catre ser"icul FFF oricarui utilizator Internet1 dar accesul E P sa fie permis doar din
reteaua locala0 Aceasta limitare a accesului se poate face pe fiecare ser"iciu in parte sau
+lobal1 la ni"elul sistemului de operare0 Implementarea la ni"elul sistemului de operare
este mult mai eficienta1 datorita faptului ca este centralizata1 unitara si nu depinde de
aplicatiile utilizate (aceste pot sau nu sa aibe sisteme de limitare a accesului)0
. astfel de protectie este asa-numitul fire%allQ (zid impotri"a raspandirii focului)0
El realizeaza o protectie la ni"elul unitatii fundamentale de transfer a informatiei H
pac*etul0 Protocolul utilizat actualmente in Internet este IP!> (IP "ersiunea >)1 pac*etul
IP fiind fiind unitatea informationala fundamentala0 El contine obli+atoriu destinatia (un
numar reprezentat pe =: de biti care identifica unic destinatia in Internet) si sursa
(numarul reprezentat pe =: de biti care identifica in Internet sursa)0 n fire%all ar putea
deci sa nu permita primirea niciunui pac*et care are ca sursa un IP din afara listei de IP-
uri care identifica calculatoarele utilizatorilor autorizati0 E ista intr-ade"ar o mica
posibilitate ca rau"oitorul sa pretinda ca are IP-ul unuia din calculatoarele autorizate1 dar
actiunea cere ca el sa se afle pe traseul dintre calculatorul autorizat si tinta atacului1 altfel
raspunsul la cerere ar a2un+e pe traseul normal la calculatorul care detine intr-ade"ar
acel IP1 el neputand-ul intercepta0 In plus trebuie sa detina pri"ile+ii de adminstrator
pentru a realiza aceasta actiune1 deci sfera de "ulnerabilitate se reduce simtitor0
Impreuna cu alte protectii (autentificare cu semnaturi cripto+rafice1 autentificare cu
parola) se poate realiza o protectie eficienta a informatiilor importante ale institutiei0
Criteriile de acceptare ale pac*etelor pot fi combinate1 acceptarea se poate face printestarea mai multor conditii precum ser"iul caruia i se adreseaza1 tipul pac*etului1
interfata fizica pe care a "enit pac*etul1 etc0
In plus1 fire%all-ul mai poate fi folosit pentru a restrictiona accesul utilizatorilor
interni la anumite resurse din Internet1 fie pentru a utiliza eficient latimea de banda pe
care o are la dispozitie institutia pentru a comunica cu Internetul1 fie pentru a limita
accesul in timpul pro+ramului la informatii care nu tin de acti"itatea de productie ("izitare
pa+ini web distracti"e1 chat -uri1 etc)0
7/24/2019 42381221 Solutia Linux de Conectare La Internet
29/40
Cum functioneaza un fire)all
Pac4etul IP
n pac*et IP contine obli+atoriu IP-urile celor doi a+enti care comunica0 Alaturi de
acestea el mai contine tipul de pac*et si pentru fiecare TIP informatii specifice
respecti"ului TIP de pac*et0 Tipurile de pac*ete IP sunt G P 1 #P 1 I# P& G P sefoloseste pentru a realiza un canal nefiabil1 unde pierderea unui pac*et nu este foarte
importanta dar intarzierea retransmiterii unui pac*et este suparatoare (ca in cazul
transmiterii frame-urilor "ideo)0 Pac*etele #P se folosesc pentru realizarea de canale
fiabile1 cu retransmiterea pac*etelor pierdute sau malformate0 Pac*etele I# P se
folosesc in +eneral pentru mana+ementul retelei si pentru transmiterea unor informatii
despre e"enimente speciale in retea (e destinatia nu este accesibila)0 Informatiile proriu
zise se transmit in pac*ete G P si #P 0 Ambele contin un numar de port sursaQ si un
numar de port destinatieQ0 n numar de port este un identificator al capatului de
cone iuneQ pe un anumit calculator0 iecare ser"iciu asteaptaQ pe un anumit port1 pentru
a fi accesat1 calculatorul client seteaza ca port destinatie acel numar de port0 Numarul de
port sursa este folosit pentru a identifica clientul de pe masina care a initiat cone iunea1
de e emplu in cazul in care doua aplicatii acceseaza in paralel acelasi ser"iciu de pe un
alt *ost0
Recapituland putem spune ca un canal de comunicatie in Internet esteidentificat unic in Internet de un c"adruplu format din IP sursa1 P.RT sursa1 IP destinatie1
P.RT destinatie0 IP-ul identifica *osturile care comunica1 numarul de P.RT identifica
ser"iciul accesat in cazul ser"erului1 in cazul clientului P.RT-ul este ales dintr-un inter"al
prestabilit1 astfel incat sa fie unic0 La aceste informatii se mai adau+a I'-ul interfetei pe
care a "enit pac*etul (o masina fire%all standard are o interfata spre reteaua locala si una
spre Internet)0 Pe baza acestor < informatii la care se mai adau+a cati"a biti precum bitul
MN sau bitii de T. un fire%all ia decizia daca un pac*et este acceptat spre prelucrare
sau este respins prin simpla i+norare sau prin emiterea unui pac*et I# P de eroare0
'aca asociem pac*etelor I# P un port sursa si un port destinatie comform cu tipul de
mesa2 transmis si tinand seama ca un numar de P.RT este reprezentat pe 35 biti1 atunci
pentru fiecare pac*et se ia in considerare =:K=:K35K35K;D36> biti0 Putem adau+a un
octet (; biti) pentru bitii suplimentari1 deci 33: biti0 Concatenarea acestor informatii o
"om numi proprietate a pac*etului0 -a considerat I'-ul intrerfetei reprezentat pe ; biti0
A!stractizare fire)all
Abstractizand1 un fire%all este o partitionare in doua a multimii 613S 33:0 Prima
multime este multimea proprietatilor cu care pac*etele se accepta1 cea de-a doua este
7/24/2019 42381221 Solutia Linux de Conectare La Internet
30/40
complementarea ei in multimea proprietatilor posibile ale pac*etelor1 deci multimea de
proprietati care sunt inacceptabile si care +enereaza respin+erea pac*etului0
Reformuland1 putem spune si ca fire%all-ul este o functie pe multimea de proprietati ale
pac*etelor in multimea 613S (acceptat1 respins)0 e pot utiliza insa si alte informatii din
pac*et pentru a decide acceptarea sau nu a unui pac*et1 in cazul in care o proprietate
este specifica unui anumit tip de pac*et1 pentru celelalte tipuri de pac*et se poate
specifica o "aloare impliciata0 'aca consideram cazul +eneral al proprietatii pac*etului in
n biti1 pentru a reprezenta un fire%all este suficient sa reprezentam multimea
proprietatilor care conduc la acceptarea pac*etului0 e pot proiecta fire%all-uri mai
comple e1 cu mai multe decizii (de e emplu acceptare1 i+norare pac*et1 trimitere unei
notificari de interzicere1 notificarea intr-un fisier lo+1 etc)1 codomeniul functiei fire%all fiind
mai mare in acest caz (cardinalul ei este numarul de posibile decizii)0
Limitari cunoscute
Caracteristicile de performanta ale unui al+oritm care sa rezol"e aceasta problema
sunt
U Comple itatea computationala mica0 Trebuie sa poata prelucra cate"a mii
de pac*ete pe secunda0
U 7emoria consumata sa nu fie foarte mare
Posi!ile reprezentari
Cea mai simpla reprezentare a partitiei multimii : n in doua multimi este un sir de : n
biti1 semnificatia bitului # fiind A #D6 elementul care este reprezentarea binara a lui #
apartine primei multimi1 respecti" A #D3 elementul care este reprezentarea binara a lui
# apartine celei de-a doua multimi0 .peratiile care trebuiesc efectuate se fac e trem de
rapid0 !erificarea apartentei unui element la una din cele doua submultimi se face cu un
sin+ur acces la memorie si selectarea unui bit din numarul care este stocat la acealocatie1 daca se considera ca timpul de acces la locatiile de memorie este acelasi oricare
ar fi locatia (cum se intampla in sistemele de calcul obisnuite)1 aceasta reprezentare face
are timpul de rulare per pac*et cel mai mic0 Adau+area sau ster+erea unui element este
la fel de simpla1 constau in setarea/desetarea unui bit0 Problema acestui sistem este insa
spatiul de memorie pe care il cere0 Este ne"oie de : n/;D: n-= ,&tes de memorie pentru
acest tip de reprezentare1 spatiu de memorie consumat indiferent de partitia
reprezentata0 Acest spatiu este spatiul minim in care se poate reprezenta orice partitie a
multimii 61:S n 1 dar totusi1 pentru tipurile de partitii folosite in mod curent se pot +asi
reprezentari care folosesc mult mai putina memorie1 desi anumite cazuri (care nu apar in
7/24/2019 42381221 Solutia Linux de Conectare La Internet
31/40
practica) ar a"ea ne"oie c*iar de mai multa memorie 0 'aca ar fi sa facem o paralela cu
teoria codurilor putem spune ca elementele elementele multimii 61:S n se pot codifica
folosind cu"inte cod de lun+ime mai scurte pentru elementele mai des intalnite si cu"inte
de cod mai lun+i pentru elemente care apar rar0 Trasand anumite limitari ale tipurilor de
partitii pe care le "om reprezenta putem sa +arantam faptul ca pro+ramul se "a incadra
intr-o anumita limita de memorie0
Reprezentarea cu masca
Aceasta este reprezentare uzuala folosita in prezent0 implificat consta intr-o serie
de perec*i (a1m) a1m 61:S n unde a il "om numi sablon iar m se numeste masca 0
iecare perec*e defineste o submultime a multimii 61:S n astfel elementul b este in
multimea definita de perec*ea (a1m) daca bVmDa (unde V defineste operatia de siQ lo+ic1
bit cu bit intre b si m)0 .rice submultime a lui 61:S n
se poate reprezenta ca o multime deastfel de perec*i1 multimea reprezentata fiind reuniunea multimilor reprezentate de
respecti"ele perec*i0 Acest lucru se demonstreaza usor prin faptul ca e ista o
reprezentare pentru fiecare element aQ al multimii 61:S n 1 aceasta fiind (a1m) unde m are
toti bitii 31 deci bVmDb si bVmDa aDb0 e poate deci reprezenta orice submultime a lui
61:S n ca reuniune de astfel de reprezentari ale elementelor1 deci se poate reprezenta
orice submultime1 deci orice partitie0 Pentru optimizare se asociaza o ordine acestor
perec*i si cate un bit de asociere cu una dintre multimi0 Pentru a afla in care dintre
submultimi se afla un anumit alement se parcur+ in ordine perec*ile1 bitul asociat primei
perec*i care "erifica conditia bVmDa (se mai spune si ca face matc* cu perec*eaQ)
indicand din care dintre multimi face parte elementul0 In cazul in care nici una din perec*i
nu face matc*Q elementul testat1 elementul se considera a apartine uneia dintre multimi
dinainte stabilite (numita multime defaultQ) 0 Aceasta reprezentare este suficienta pentru
a reprezenta orice partitie1 de e emplu putem pune cate o re+ula care sa reprezinte
fiecare element din prima multime (ale+em masca m ca sir de n biti 3Q) si care sa trimita
prin bitul asociat la prima multime1 iar multimea default o ale+em sa fie cea de-a doua
multime0 Este e"ident ca elementele din prima multime "or face matc* pe una dintre
re+uli si "or fi recunoscute ca facand parte din prima multime iar cele din cea de-a doua
multime "or fi identificate corect pentru ca a2un+ in multimea default0
Reprezentare fire)all printr-un automat
Putem reprezenta fire%all-ul printr-un automat1 in care alfabetul sa fie format din
simbolurile 613S1 iar starile finale sa fie etic*etate cu indicele deciziei care se ia in cazulin care se a2un+e in acea stare pornind din starea initiala si urmand sirul de biti format de
proprietatea unui pac*et0 .rice drum in acest automat nu trebuie sa fie mai mare decat
7/24/2019 42381221 Solutia Linux de Conectare La Internet
32/40
numarul de biti din proprietate1 deci comple itatea al+oritmului ar fi c*iar liniara cu
numarul de pac*ete0 aptul ca un astfel de automat e ista este usor de demonstrat1 se
poate creea de e emplu ca un arbore complet cu n ni"ele (n fiind numarul de biti pe care
se reprezinta proprietatea)0 Nodurile frunza "or fi stari finale1 etic*etate cu inde ul deciziei
care se ia pentru pac*et0 e poate astfel reprezenta orice fire%all0 Totusi1 acest automat
nu este cel minimal1 al+oritmi de minimizare e istand de2a0 Pentru cazul obisnuit insa1 in
care se dispune de o reprezentare cu masca1 se pot +asi si al+oritmi mai simpli pentru
minimizare (se presupune ca un fire%all care se doreste optimizat este destul de
comple 1 deci un al+oritm standard ar folosi multa memorie si ar a"ea o comple itate
computationala destul de mare0
Automat fire)all minimal
7ai intai "om rela a putin cerinta1 cerand ca automatul sa fie minimal doar in
multimea automatelor care au toate starile finale la distanta n de punctul de start0 !or
e ista deci nK3 ni"ele de noduri1 pe ultimul ni"el fiind starile finale0 Numarul starilor finale
"a fi #Dnumarul de decizii pe care le poate lua fire%all-ul0 Cu"intele-proprietati cu care nu
se a2un+e intr-o stare finala (la un moment dat nu e ista tranzitie din starea in care s-a
a2uns cu simbolul curent) se considera clasificate in re+ula default0 Este e"ident ca un
astfel de automat e ista1 se poate face arborele complet in care starile finale cu aceeasi
etic*eta se reduc1 aceasta fiind si ideea minimizarii in cazul automatului clasic0 Acelasi
al+oritm se bazeaza si pe reducerea starilor ec*i"alente1 al+oritmul clasic are insa
comple itate computationala prea mare0
!om considera cazul in care e ista un automat minimal de acest tip (de e emplu
automatul cu o sin+ura stare1 cea de start)0 La adau+area fiecarei re+uli automatul
trebuie mentinut minimal0 . re+ula este si ea un caz particular de automat0 Acest
automat se contruieste printr-un sir de nK3 stari ordonate1 intre fiecare doua stari
consecuti"e putand e ista o tranzitie cu litera corespunzatoare din sablon (a) in cazul in
care simbolul din masca este 3 si poate contine : tranzitii1 cu 6 si 31 in cazul in care
simbolul corespunzator din masca este 30 Con"entia este ca bitul de pe pozitia 2
corespunde cu perec*ea de stari consecuti"e (212K3)0 In acest fel adau+area unei re+uli
reprezinta de fapt o suma de automate1 dar o suma mai speciale1 cu urmatoarele
proprietati (consideram automatele A 3 si A : care se insumeaza in automatul A 3K A: si
functia fire%all (A1%)D )0
U (A31%)D D (A3K A: 1%)D
U (A31%)D1 (A:1 %)D& D (A3K A: 1%)D&
7/24/2019 42381221 Solutia Linux de Conectare La Internet
33/40
'eci in cazul in careprimul automat dadea de2a un "erdict neimplicit (prin re+ula
default) pentru pac*et1 atunci automatul rezultat "a da acelas rezultat0 In caz contrar1
daca in al doilea automat e ista un "erdict pentru pac*et1 acesta "a fi "erdictul dat de
automatul final0 In cazul in care nici in acesta nu e ista dat un "erdict1 se "a da "erdictul
dat de re+ula default (cu"antul nu "a fi acceptat de automat)0
Comform teoriei automatelor1 minimizarea se face ec*i"aland starile cu acelasi
comportament0 In acest caz1 starile cu acelas comportament pot fi doar pe acelasi ni"el1
ele putand fi ec*i"alate de 2os in sus0 n automat minimal are starile finale ec*i"alente1
in acest caz fiind ec*i"alente starile finale cu aceeasi etic*eta0 . proprietate speciala a
unor astfel de automate minimale este ca orice nod-stare nu are decat ma im un
predecesor care il are ca sin+ur succesor1 pentru fiecare din combinatiile de arce
posibile ( 6S1 3S1 613S)0 In caz contrar1 doua astfel de stari ar a"ea acelasicomportament1
deci automatul n-ar mai fi minimal0 Importanta acestui fapt rezida in faptul ca in
al+oritmul de insumare se "a porni de 2os in susQ prin ec*i"alarea starilor cu acelas
comportament0 In automatul al doilea pentru orice stare nu e ista predecesori care sa
aiba mai multi succesori1 deci incepand ec*i"alarea automatelor cu starile finale1 starea
de pe ni"elul m din al doilea automat "a putea ec*i"ala cu o stare din primul automat
daca si numai daca ele sunt pe acelasi ni"el m si au ca unic succesor cu aceeasi
confi+uratie de arce o stare care a fost obtinuta prin ec*i"alarea a doua stari pe ni"elul
mK30 Pentru fiecare stare din automatul care se construieste com memora acei unici
predecesori pentru fiecare confi+uratie de arce posibila ( 6S1 3S1 613S)0 Acest lucru "a
scade mult din comple itatea al+oritmului1 nemaifiind ne"oie sa se "erifice proprietatea
la toti predecesorii starii respecti"e0 'upa aceasta ec*i"alare a starilor1 e ista doua
posibilitati0 'aca s-a a2uns cu ec*i"alarea starilor pana la starea initiala inseamna ca
automatul care se adau+a este continut in primul automat1 nu recunoaste alte cu"inte1
deci automatul ramane in mod corect nemodificat0 'aca nu s-a a2uns la ec*i"alarea
starilor initiale trebuie ca automatul sa fie facut determinist1 cu o sin+ura stare initiala0 Aceasta se "a face mulandQ al doilea automat peste primul0 e "a incepe cu cele doua
radacini0 Automatul al doilea are unul sau doua arce0 'aca are unul sin+ur1 e ista doua
posibilitati sa e iste acest arc in primul automat1 caz in care se trece la identificarea
succesorilor pe ramura cu acel simbol sau sa nu e iste arcul corespunzator1 caz in care
se adau+a in primul automat portiunea pana care urmeaza (in 2os) pana la starea care a
fost ec*i"alat cu una din automatul mare0 In cazul in care e ista doua arce catre
succesor in al doilea automat1 se "a "erifica daca si in primul automat e ista un succesordublu (si cu 6S1 si cu 3S - ca in al doilea)1 caz in care se "or identifica succesorii dublii si
se "a mer+e mai departe cu succesorii lor0 In caz contrar se "or identifica succesorul
7/24/2019 42381221 Solutia Linux de Conectare La Internet
34/40
stan+ ( 6S) al celui de-al doilea arbore cu cel corespunzator al primului si succesorul
drept ( 3S) al celui de-al doilea cu cel corespunzator din primul1 dupa acelasi al+oritm0
uccesorul se "a duplica deci1 fara insa a fi ne"oie de duplicarea fizica1 bucati din acest
subautomat "or apare e"entual pe ambele ramuri din primul automat0 In cazul in care
una din ramuri nu e ista in primul automat1 se foloseste re+ula de mai sus (prin copierea
ramurii respecti"e din al doilea automat pana la starea care este ec*i"alenta cu o stare
din primul automat0 Comple itatea acestei parti a al+oritmului poate creste teoretic1 dar
practic probabilitatea sa e iste o splitare a celui de-al doilea automat este mica1 ea
crescand liniar cu numarul de noduri cu doi succesori distincti1 numar care creste
lo+aritmic cu numarul de noduri0
Acest al+oritm (sau "arianta a sa usor modificata) se poate implementa in sistemul
de fire%all1 rezultand un consum de calcul mult mai mic pentru cazuri in care fire%all-ul
este foarte mare0 Pe de alta parte se poate folosi peste implementarea e istenta1 creand
un sistem +enerand offline o reprezentare de acest tip a fire%all-ului1 si con"ertind-o apoi
la o forma clasica1 dar simuland prin multiple c*ain-uri referite imbricat aceasta structura0
7/24/2019 42381221 Solutia Linux de Conectare La Internet
35/40
PARTEA A TREIA
- Protocolul TCP/IP -
Protocolul IP +Internet Protocol,
n loc potri"it pentru a porni studiul ni"elului retea in Internet este insusi formatul
data+ramelor IP0 . dia+rama IP consta intr-o parte de antet si una de te t(informatie)0
Antetul consta dintr-o parte de lun+ime fi a (:6 octeti) si una (optionala) de lun+ime
"ariabila0 Campurile antetului sunt transmise in formatul big endian (cel mai semnificati"
primul)0 Procesorul PARC este de tip big endian 1 dar Pentiumul este de tip litle endian 1
deci el trebuie sa faca o con"ersie a campurilor atat la trimitere cat si la receptie0 Asezarea
campurilor in antet este urmatoarea
=: biti
!ersi
une
I@
L
Ti
p
ser"iciu
Lun+ime totala
Identificare - ' 7 'eplasamentulfra+mentului
Timp de "iata Proto
col
uma de control a antetului
Adresa sursei Adresa destinatiei Portiune optionala
(zero sau mai multe cu"inte de =: de biti)
Campul !ersiuneQ memoreaza carei "ersiuni de protocol ii apartine dada+rama0
Prin includerea unui camp "ersiune in fiecare data+rama1 de"ine posibil ca tranzitia dintre
"ersiuni sa tina luni1 poate c*iar ani1 cu unele masini ruland "ec*ea "ersiune1 si altele
noua "ersiune0
'in moment ce lun+imea antetului nu este constanta1 un camp din antet1 I@L1 este
pus la dispozitie pentru a spune cat de lun+ este antetul1 in cu"inte de =: de biti0 !aloarea
minima este biti este 3
7/24/2019 42381221 Solutia Linux de Conectare La Internet
36/40
7/24/2019 42381221 Solutia Linux de Conectare La Internet
37/40
lun+ime ma ima a data+ramei de 5
7/24/2019 42381221 Solutia Linux de Conectare La Internet
38/40
'iri2area stricta
pe baza sursei
Indica calea completa de parcurs
'iri2area
apro imati"a pe baza
sursei
Indica o lista a ruterelor ce nu trebuie
sarite
Inre+istreaza
calea
iecare ruter trebuie sa-si adau+e
adresa IP Amprenta de
timp
iecare ruter sa-si adau+e adresa si o
amprenta de timp
.ptiunea !ecuritate mentioneaza cat de secreta este informatia0 In teorie1 un ruter
militar poate folosi acest camp pentru a mentiona ca nu se doreste o diri2are prin anumite
tari pe care militarii le cansidera rau"oitoare0 In practica1 toate ruterele il i+nora1 deci
sin+ura functieQ practica este sa a2ute spionii sa +aseasca lucrurile de calitate0da calea
competa de la sursa la destinatie ca o succesiune de adrese IP0
.ptiunea irijarea stricta pe ba=a sursei H 'ata+rama este obli+ata sa urmeze
aceasta cale precisa0 Ea este deosebit de utila pentru administratorii de sistem pentru a
transmite pac*ete cand tabelele de diri2are sunt distruse1 sau pentru a depana/confi+ura
reteaua0
.ptiunea irijarea apro.imativa pe ba=a sursei face posibila ocolirea anumitor
re+iuni +eo+rafice din moti"e politice sau de alta natura0
.ptiunea Inregistrea=a calea indica ruterelor de pe cale sa-si adau+e adresele lor
IP la campul optiune0 Aceasta permite administratorilor de sistem sa localizeze pene in
al+oritmii de diri2are0 Cand reteaua ARPANET a fost infiintata1 nici un pac*et nu trecea
"reodata prin mai mult de noua rutere1 deci >6 de octeti erau suficienti0 Cum s-a mai spus1
in prezent dimensiunea este prea mica0
.ptiunea Amprenta de timp este similara cu optiunea Inregistrea=a ruta 1 cue ceptia faptului ca in plus fata de inre+istrarea adresei de =: biti se adau+a si o
amprenta de timp de =: biti0 i aceast aoptiune este folosita tot pentru depanarea
al+oritmilor de diri2are0
Adrese IP
iecare +azda si ruter din Internet are o adresa IP1 care codifica adresa sa de
retea si de +azda0 Combinatia este unica nu e ista doua masini in Internet cu acelasi IP0
Toate adresele IP sunt de =: de biti lun+ime1 si sunt folosite in campurile Adresa sursa si
7/24/2019 42381221 Solutia Linux de Conectare La Internet
39/40
Adresa destinatie ale pac*etelor IP0 7asinile care sunt conectate la mai multe retele au
adrese diferite in fiecare retea0 ormatele folosite pentru adresele IP sunt urmatoarele
=: biti
6 Retea $azda3
6
Retea $azda
3
36
Retea $azda
33
36
Adresa de trimitere multipla
33336
Rezer"at pentru folosire "iitoare
In functie de antetul adresei (61 361 3361 33361 33336) adrese se impart respecti"
in adrese de clasa A1 ,1 C1 '1 E0 ormatele de clasa A1 ,1 C si ' permit pana la 3:5 retele
cu 35 milioane de +azde fiecare1 350=;: retele cu pana la 5>0666 +azde fiecare1 :
milioane de retele cu pana la : +azde fiecare (de e emplu LAN-uri) si multicast
(trimitere multipla)0Xeci de mii de retele sunt conectate acum la Internet1 si numarul sedubleaza in fiecare an0 Numerele de retea sunt atribuite de NIC +Net)or' Information
Center, pentru a e"ita conflictele0
Adresele IP1 care sunt numere de =: de biti1 sunt scrise in mod uzual in notatie
zecimala cu punct0 In aceste format1 fiecare dintre cei > octeti este scris in zecimal1
rezultand "alori intre 6 si :
7/24/2019 42381221 Solutia Linux de Conectare La Internet
40/40
numai din 3-uri se folosesc pentru a trmite pac*ete tuturor +azdelor de la o anumita
adresa de retea0 In final1 adresele 3:F0 0&&0zz sunt rezer"ate pentru testari in bucla
locala (loopbac#)0 Pac*etele trimise catre aceasta adresa nu sunt trimise prin cabluY ele
sunt prelucrate total si tratate ca pac*ete sosite0 Aceasta permite ca pac*etele sa fie
trimise propriei +azde1 fara ca emitatorul sa-i cunosaca adresa0
