Názov predmetu: BEZPEČNOSŤ V INTERNETE

 

Ročník:  Inžinierske štúdium

Semester: Letný

Rozsah: 2-2-1

Prednášajúci: Doc. Ing. Ladislav Hudec, CSc.

 

Ciele predmetu: Získať vedomosti metód a prostriedkov zaistenia bezpečnosti v Internete. Vedieť opísať architektúru, štruktúru a postupy implementácie bezpečnostných mechanizmov a funkcií na úrovni sieťovej technológie a základných technológií webových aplikácií.


 

Prerekvizity: Architektúra počítačových systémov, Počítačové siete, Programovanie a Operačné systémy.

 

Kľúčové slová: počítačová bezpečnosť, bezpečnosť Internetu, bezpečnosť elektronického podnikania.

 

Obsah:

 

1. Infraštruktúra verejného kľúča – PKI. Rozšírenia certifikátu, žiadosť o certifikát v tvare PKCS#10, žiadosť o certifikát v tvare CRMF,  protokoly CMS, PKCS#7 a CMP, protokol DVCSP, protokol TSP. (prezentácia)

2. Certifikačná autorita. Základná štruktúra CA a aktíva CA, reťazec certifikátov, krížová certifikácia, obnovenie certifikátu CA, certifikačné politiky, žiadosť o certifikát SPK, typy používaných certifikátov, bezpečnostné požiadavky na kryptografické moduly podľa FIPS 140. (prezentácia)

3. Bezpečnostné vlastnosti DNS. Základné vlastnosti Domain Name System (DNS). Domény a subdomény, Reverzné domény. Zóna. Dopyty a preklady. Primárny a sekundárny menný server. Resolver. DNS protokol. Vety RR. Dopyty a odpovede protokolu DNS. Útoky na DNS typu Man in the Middle a cache poisoning. Útoky založené na narodeninovom paradoxe. Bezpečné DNS, DNSsec a TSIG. (prezentácia)

4. Bezpečná elektronická pošta. Koncepcia elektronickej pošty. Prehľad základných hlavičiek podľa RFC 822. Rozšírenia MIME. Štandardné kódovacie mechanizmy Base-64 a quoted-printable. Jednoduché a kompozitné typy údajov v hlavičke Content-Type. Bezpečná pošta S/MIME. Správa CMS používaná v S/MIME. Certifikáty a CRL. (prezentácia)

5. Pripojenie koncového používateľa k poskytovateľovi internetových služieb a siete VPN. Protokol PPP. Autentizácia v protokole PPP. Protokol EAP. Autentizácia používateľov protokolom RADIUS. Protokol RADIUS Accounting. Presný čas v počítačovej sieti protokolom NTP. Virtuálne privátne siete VPN. Pripojenie vzdialeného používateľa. Pripojenie obchodného partnera. Prepojenie pobočky a hlavného sídla organizácie. Protokol L2TP. Vytváranie bezpečného tunela prostredníctvom IPSec. (prezentácia)

6. Bezpečnosť protokolu HTTP. Architektúra protokolu HTTP. Koncepcia proxy, brána a tunel. Metódy protokolu HTTP. Ostatné hlavičky protokolu HTTP. Autentizácia klienta. Autentizácia proxy. (prezentácia)

7. Bezpečnosť webu. Autentizované relácie. Politiky pôvodu kódu. Cross-site scripting.Cross-site request forgery. Unesenie Java skriptu. Ďalšie bezpečnostné slabiny webových serverov a princípy ich testovania. (prezentácia)

8. Webové služby a bezpečnosť. Webová služba vyhľadávania. Webová služba posielania správ. Webový portal. Roly webových služieb, režimy a vlastnosti. Elementy bezpečnosti. Dimenzie bezpečnosti webových služieb.  Uspokojenie požiadaviek na zabezpečenie webových služieb. Hlavné služby. Hrozby webovým službám. (prezentácia)

9. Webové služby a bezpečnosť. Manažment identity a webové služby. Zriadenie dôvery medzi službami. Opis politík webových služieb. Distribuovaný manažment autorizácie a prístupu. (prezentácia)

10. Bezpečnosť Internetu vecí (IoT). Bezpečnostná architektúra IoT. Analýza bezpečnostných problémov v IoT (vrstva styku s prostredím, transportná vrstva a aplikačná vrstva). Porovnanie bezpečnostných problémov IoT a tradičných sietí. Otvorené problémy v bezpečnosti IoT. (prezentácia)

11. Penetračné testovanie. Typy penetračných testov. Metodiky penetračného testovania. Metodika OSSTM, OSSAF, OWASP, WASC-TC, kľúčové vlastnosti a výhody. Všeobecný postup penetračného testovania. (prezentácia)

12. Útoky DoS a ich detekcia. DoS a typy útokov. Odmietnutie služby, útoky založené na zraniteľnostiach a záplavové útoky, útoky z jedného zdroja a distribuované útoky, ciele DoS, DoS na rôznych protokolových vrstvách, útok odrazením a zodilnením, taxonómia útokov. Detekčné mechanizmy útokov DoS. DEtekcia založená na príznakoch, detekcia založená na anomáliách, identifikácia zdroja útoku. (prezentácia)

 

Podmienky absolvovania: V rámci cvičenia sa spracovávajú individuálne analytické projekty. Študent vypracuje a odovzdá špecifikáciu projektu (maximálne 4 body), prednesie dve správy (15 minútová prezentácia v Powerpointe) o dosiahnutom progrese (maximálne 3 body za každú správu)  a odovzdá vypracovaný analytický projekt (maximálne 10 bodov). Na úspešné absolvovanie cvičení a pripustenie ku skúške musí študent dosiahnuť z cvičení aspoň 11 bodov.

 

Skúška je písomnou formou (test). Výsledky testu predstavujú 60% výsledného hodnotenia.

 

Cvičenie sa realizujú podľa tohto scénara a harmonogramu. Študenti sú rozdelení do skupín, v jednej skupine majú študenti rôzne témy.

 

Literatúra:

1. DOSTÁLEK, L. a kol.: Velký průvodce protokoly TCP/IP, bezpečnost. ComputerPress 2003.
2. STEIN, L.D.: Web Security. Addison Wesley Longman, Inc. 1998.
3. OPPLIGER, R.: Internet and Intranet Security. Second Edition. Artech House, Inc. 2002.
4. OPPLIGER, R.: Security Technologies for the World Wide Web. Artech House, Inc. 2000.

 

Tutoriály: XML , HTML , Web Services , JavaScript