Bezpečnosť v Internete

Prerekvizity: Architektúra počítačových systémov, Počítačové siete, Programovanie a Operačné systémy.

Kľúčové slová: počítačová bezpečnosť, bezpečnosť Internetu, bezpečnosť elektronického podnikania.

Obsah:

1. Infraštruktúra verejného kľúča – PKI. Rozšírenia certifikátu, žiadosť o certifikát v tvare PKCS#10, žiadosť o certifikát v tvare CRMF, protokoly CMS, PKCS#7 a CMP, protokol DVCSP, protokol TSP. (prezentácia)

2. Certifikačná autorita. Základná štruktúra CA a aktíva CA, reťazec certifikátov, krížová certifikácia, obnovenie certifikátu CA, certifikačné politiky, žiadosť o certifikát SPK, typy používaných certifikátov, bezpečnostné požiadavky na kryptografické moduly podľa FIPS 140. (prezentácia)

3. Bezpečnostné vlastnosti DNS. Základné vlastnosti Domain Name System (DNS). Domény a subdomény, Reverzné domény. Zóna. Dopyty a preklady. Primárny a sekundárny menný server. Resolver. DNS protokol. Vety RR. Dopyty a odpovede protokolu DNS. Útoky na DNS typu Man in the Middle a cache poisoning. Útoky založené na narodeninovom paradoxe. Bezpečné DNS, DNSsec a TSIG. (prezentácia)

4. Bezpečná elektronická pošta. Koncepcia elektronickej pošty. Prehľad základných hlavičiek podľa RFC 822. Rozšírenia MIME. Štandardné kódovacie mechanizmy Base-64 a quoted-printable. Jednoduché a kompozitné typy údajov v hlavičke Content-Type. Bezpečná pošta S/MIME. Správa CMS používaná v S/MIME. Certifikáty a CRL. (prezentácia)

5. Pripojenie koncového používateľa k poskytovateľovi internetových služieb. Protokol PPP. Autentizácia v protokole PPP. Protokol EAP. Autentizácia používateľov protokolom RADIUS. Protokol RADIUS Accounting. Presný čas v počítačovej sieti protokolom NTP. (prezentácia)

6. Bezpečnosť protokolu HTTP. Architektúra protokolu HTTP. Koncepcia proxy, brána a tunel. Metódy protokolu HTTP. Ostatné hlavičky protokolu HTTP. Autentizácia klienta. Autentizácia proxy. (prezentácia)

7. Bezpečnosť webu. Autentizované relácie. Politiky pôvodu kódu. Cross-site scripting.Cross-site request forgery. Unesenie Java skriptu. Ďalšie bezpečnostné slabiny webových serverov a princípy ich testovania. (prezentácia)

8. Webové služby a bezpečnosť. Webová služba vyhľadávania. Webová služba posielania správ. Webový portal. Roly webových služieb, režimy a vlastnosti. Elementy bezpečnosti. Dimenzie bezpečnosti webových služieb. Uspokojenie požiadaviek na zabezpečenie webových služieb. Hlavné služby. Hrozby webovým službám. (prezentácia)

9. Webové služby a bezpečnosť. Manažment identity a webové služby. Zriadenie dôvery medzi službami. Opis politík webových služieb. Distribuovaný manažment autorizácie a prístupu. (prezentácia)

Podmienky absolvovania: V rámci cvičenia sa vypracovávajú projekty. Zápočet študent získa za vypracovanie špecifikácie projektu, prednesenie dvoch správ o dosiahnutom progrese a odovzdanie vypracovaného projektu. Hodnotenie práce v rámci cvičení je maximálne 15 bodov. Skúška je písomnou formou (test) s maximálne možným ziskom 40b.

Cvičenie sa realizujú podľa tohto scénara a harmonogramu. Študenti sú rozdelení do skupín, v jednej skupine majú študenti rôzne témy.

Literatúra:

1. DOSTÁLEK, L. a kol.: Velký průvodce protokoly TCP/IP, bezpečnost. ComputerPress 2003.
2. STEIN, L.D.: Web Security. Addison Wesley Longman, Inc. 1998.
3. OPPLIGER, R.: Internet and Intranet Security. Second Edition. Artech House, Inc. 2002.
4. OPPLIGER, R.: Security Technologies for the World Wide Web. Artech House, Inc. 2000.

Tutoriály: XML , HTML , Web Services , JavaScript