Bezpečnosť počítačových sietí - ÚINF OPS1


Prednášky v tomto semestri budú v pondelok o 15:20 v Laboratóriu kybernetickej bezpečnosti.
Cvičenia (RKB) v utorok od 12:35 tiež v LKB.

Záverečné preskúšanie bude v piatok 2. 6. 2017 v P16.
Na tento termín ešte môžete doniesť riešenie úlohy série I (doc, pdf).

Odporúčaná literatúra a ďalšie zdroje informácií
Hodnotenie

Zadania domácich úloh - séria A (doc, pdf), séria B (doc, pdf), séria C (doc, pdf), séria D (doc, pdf), séria E (doc, pdf),
séria F (doc, pdf), séria G (doc, pdf), séria H (doc, pdf), séria I (doc, pdf).

  Témy prednášok
13.2.2017
P11
Význam a základné princípy bezpečnosti IS. Aktíva, hrozby, riziká, útoky.
Bezpečnostné ciele, funkcie a mechanizmy, bezpečnostná politika, havarijný plán.
Prečítajte - J. Staudek: Úvod do problematiky, základné pojmy, príklady hrozieb a opatrení, štandardy
Kritériá hodnotenia bezpečnosti informačných systémov - Common Criteria, OWASP
CISSP certifikácia.
20.2.2017 Úloha a spôsob využívania prenosových médií pri prenose informácií, zraniteľnosti a bezpečnostné hrozby.
Realizácia spojenia na fyzickej vrstve, úlohy a zraniteľnosti.
Klasifikácia používaných prenosových médií. Výhody a nevýhody jednotlivých riešení.
B.A. Forouzan: Data Communications and Networking
Forouzan kap. 3, 4, 7, slajdy 01 02 03 06
Úlohy na precvičenie séria A (doc, pdf) - odovzdať do 27.2.2017 15:20
27.2.2017 Šírka prenosového pásma, závislosť modulačnej rýchlosti od šírky pásma (Nyquist).
Obmedzenia prenosovej rýchlosti šumom (Shannon).
Spôsoby prenosu údajov na fyzickej úrovni, modulácie, technologické a teoretické limity.
Riadenie údajových tokov na úrovni logického spoja, detekcia a korekcia chýb.
Zraniteľnosti a známe hrozby.
Spojová prístupová metóda CSMA/CD - Ethernet, rámec Ethernetu.
Zabezpečenie rámcov protokolom IEEE 802.1AE, (MACsec), VLAN rámec
Forouzan kap. 5, 6, 10, 11, slajdy 04 05 08 09 10
Úlohy na precvičenie séria B (doc, pdf) - odovzdať do 6. 3. 2017 15:20
6.3.2017 Siete s prepínaním okruhov, virtualizácia, multiprotokolové prepínanie.
Význam a riziká prepojenia sietí opakovačmi a mostami (prepínačmi). ARP útoky.
Virtuálne lokálne siete VLAN a ich využitie pri zvyšovaní bezpečnosti. VLAN hopping.
STP protokol, algoritmy na odstránenie cyklických prepojení, bezpečnostné hrozby.
Forouzan kap. 8, 12, 13, 15, slajdy 7 12
Úlohy na precvičenie séria C (doc, pdf) - odovzdať do 13.3.2017 13:30
13.3.2017
13:30
Špecifiká bezdrôtového prenosu, využitie telekomunikačných prenosových ciest.
Siete WLAN - prenosové techniky, riadenie údajových tokov.
Hrozby a bezpečnostné opatrenia v bezdrôtových sieťach.
Forouzan kap. 14, slajdy J. Peterku Siete WLAN, Siete WLAN II.
Úlohy na precvičenie séria D (doc, pdf) - odovzdať do 20.3.2017 13:30
20.3.2017
13:30
Bezpečnosť sieťovej vrstvy v sieti Internet.
Na zopakovanie vedomosti odporúčam prejsť slajdy J. Peterku Vznik TCP/IP,
Štandardy TCP/IP, Architektúra TCP/IP, Adresy IPv4, Protokol IPv4, Smerovanie, Adresy IPv6.
Rozdiely v zabezpečení protokolov IPv4 a IPv6, fragmentácia.
Bezpečnosť smerovacích zariadení a smerovania.
(Vnútorné a vonkajšie protokoly pre dynamickú konfiguráciu smerovacích tabuliek).
Riadiace protokoly Internetu, chybové hlásenia, presmerovanie, DoS útoky.
Slajdy J. Peterku Protokol IPv6, kniha P. Satrapa: IPv6 .
Bezpečnosť transportnej vrstvy.
Zraniteľné miesta protokolov TCP a UDP, problémy s nadväzovaním spojenia.
Slajdy J. Peterku Transportné protokoly.
Úlohy na precvičenie séria E (doc, pdf) - odovzdať do 27.3.2017 13:30
27.3.2017
13:30
Bezpečnostné aspekty protokolov aplikačnej vrstvy v Internete.
NVT jazyk, nadviazanie a udržovanie spojenia v protokoloch telnet a FTP.
Zabezpečenie a zraniteľnosti protokolu HTTP.
Protokol elektronickej pošty (SMTP), MIME rozšírenia, bezpečnostné hrozby.
Certifikát - štruktúra, spôsob použitia, životný cyklus.
Úlohy a význam certifikačnej autority.
Atribútové certifikáty, časové razítka, validačné certifikáty.
Systém PGP, S/MIME rozšírenia.
Dostálek: Aplikační protokoly, PKI, Staudek: Bezpečnost elektronické pošty.
Úlohy na precvičenie séria F (doc, pdf) - odovzdať do 3.4.2017 13:30
3.4.2017
13:30
Autentifikácia, autorizácia a audit v počítačovej sieti.
Autentifikácia prístupu do siete, autentifikácia údajov.
Autentifikácia heslom, bezpečnostné pravidlá, hrozby.
Autentifikačný protokol EAP, mechanizmus IEEE 802.1X.
Vzdialený prístup - protokol RADIUS.
Využitie symetrickej kryptografie - systém KERBEROS.
Úlohy na precvičenie séria G (doc, pdf) - odovzdať do 11.4.2017 12:45
11.4.2017
12:45
Protokol SSH a jeho využitie pri bezpečnom prenose súborov.
Protokol SSL/TLS, TLS relácia, TLS spojenie.
Handshake protokol, autentifikácia.
Zabezpečenie prenášaných dát protokolom RLP, protokoly AP, CCSP.
Dostálek: SSL/TLS zriadenie relácie.
Úlohy na precvičenie séria H (doc, pdf) - odovzdať do 24. 4. 2017, 15:20
24.4.2017
15:20
Vytváranie a použitie tunelov.
Bezpečná komunikácia na sieťovej úrovni - protokol IPsec.
Režimy práce, protokoly AH a ESP, bezpečnostné asociácie a politiky.
Výmena kryptografických informácií, protokol IKE, ISAKMP.
Virtuálne siete VPN.
S. Friesl: An Illustrated Guide to IPsec.
P. Satrapa: IPv6 kapitola 10.
9.5.2017
12:45
Filtrácia spojenia, dobre známe porty.
Štandardné a rozšírené filtre, reflexívne (dynamické) filtre a ich využitie.
Zástupné (proxy) servery, generické a transparentné zástupné servery.
Úlohy na precvičenie séria I (doc, pdf)
10.5.2017 O 13:30 v P11 nezabudnite na prezentácie diplomových prác
O 15:30 vo VKM odporúčame prednášku Mariána Dvorského
Evolúcia Big Data systémov
15.5.2017
P11
Posledná prednáška bude po SDI prezentáciách v P11 .
Zástupné (proxy) servery, generické a transparentné zástupné servery.
Využitie SOCKS protokolu, SOCKS server
Vytváranie skrytých sietí - prekladač sieťových adries (NAT).
Jednoduchý, rozšírený a dvojitý NAT.
Architektúra bezpečnostnej brány (firewall).
Návrh bezpečnostnej brány, demilitarizovaná zóna, pravidlá filtrovania.
Dostálkove texty k firewallom.

Hodnotenie:

(80 bodov) Priebežná práca - z cvičení (40 - čiastočne je možné získať aj na cvičení) a z prednášok (40)
(30 bodov) Písomná časť skúšky (platí najlepší výsledok z absolvovaných)
(30 bodov) Ústna časť skúšky

Otázky na ústnu časť:
* Typy útokov na bezpečnosť sieťovej komunikácie. Bezpečnostné mechanizmy a princípy ich realizácie. Význam bezpečnostnej politiky a postup pri jej tvorbe.
* Selektívna ochrana sieťovej komunikácie filtrami. Princíp činnosti, typy filtrov, položky filtrovacej tabuľky, príklad na použitie reflexívneho filtra.
* Zástupné (proxy) servery - princíp činnosti, typy, spôsoby využitia v bezpečnostných bránach (firewall). Príklad konfigurácie netriviálnej bezpečnostnej brány s demilitarizovanou zónou.
* Možnosti autentifikácie pri naväzovaní sieťovej komunikácie. Autentifikačné systémy Radius a Kerberos - princíp a popis činnosti.
* Bezpečnosť komunikácie v sieti Internet na aplikačnej úrovni. Varianty zabezpečenia elektronickej pošty (S/MIME, PGP), princíp a možnosti použitia protokolu SSH.
* Riešenie bezpečnosti komunikácie v sieti Internet na transportnej úrovni. Princíp a možnosti použitia protokolu SSL/TLS. Tunelovanie komunikácie cez zabezpečené porty.
* Bezpečnosť komunikácie v sieti Internet na sieťovej úrovni. Princíp, režimy práce a možnosti použitia protokolu IPsec. Obsah a použitie databázy bezpečnostných asociácií, tvorba bezpečnostných politík. VPN siete, zabezpečené protokolom IPsec.

Na absolvovanie predmetu s hodnotením E je potrebné získať aspoň 70 bodov, z toho aspoň 10 z ústnej časti.
Za každých ďalších 10 bodov bude hodnotenie zlepšené o 1 stupeň.


Odporúčaná literatúra :

L. Dostálek a kol.: Velký průvodce protokoly TCP/IP - Bezpečnost, Computer Press, 2003 (v študovni)
Niektoré časti na sieti (okrem IPsec)
L. Dostálek, M. Vohnoutová: Velký průvodce infrastrukturou PKI a technologií elektronického podpisu, Computer Press, 2006 (v študovni)
P. Hanáček, J. Staudek: Bezpečnost informačních systémů, ÚSIS 2000
L. Dobda: Ochrana dat v informačních systémech, Grada 1998 (v študovni)
J. Přibyl, J. Kodl: Ochrana dat v informatice, Vydavatelství ČVUT, 1996
R. Janošcová: Princípy informačnej bezpečnosti, študijné materiály online kurzu, VŠM Trenčín, 2014

William Stallings: Cryptography and Network Security, Prentice Hall, 2013
M. T. Goodrich, R. Tamassia: Introduction to Computer Security, Pearson, 2011
W. R. Cheswick, S. M. Bellovin, A. D. Rubin: Firewalls and Internet Security: Repelling the Wily Hacker, Addison-Wesley, 2003
P. Engebretson: The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy, Syngress 2011

Ďalšie zdroje na Sieti:

IT Secutiry Cookbook
Electronic Newsletter of the IEEE Computer Society Technical Comitee on Security and Privacy
Pearson Security

CSIRT.SK
Informatizácia štátnej správy SR, legislatíva
Digital Agenda for Europe - ENISA
NISP Common Criteria Evaluation & Validation Scheme
IETF
NSA