Cvičenia z predmetu Bezpečnosť v Internete

 

Cvičenia z predmetu Bezpečnosť v Internete sa realizujú spracovaním individuálneho projektu na vybratú tému. Projekt okrem analytickej časti musí obsahovať aj experimentálnu časť s vybratým bezpečnostným nástrojom (aplikáciou). Experimentovanie s bezpečnostným nástrojom vykoná študent na svojich prostriedkoch. V prípade, že študent nedisponuje vhodným prostriedkom na experimentovanie, bude mu pridelený virtuálny stroj s platformou Linux v cloude. Materiály na spracovanie projektu získajú študenti najmä prostredníctvom Internetu. Na projekty sú vypísané nižšie uvedené témy. Po dohode s cvičiacim môžu byť akceptované aj iné aktuálne témy z bezpečnosti v Internete. Študenti sú rozdelení do skupín a projekty sú riešené individuálne.

 

Témy projektov a podrobnejšia charakteristika:

1. Bezpečnosť internetového prehliadača.

• Charakteristika internetových prehliadačov a ich zabezpečenia.
• Výber nástroja na testovanie zraniteľnosti prehliadačov (napr. BeEF).
• Testovanie zraniteľností bežných prehliadačov.
• Ochrana pred útokmi na prehliadač prostredníctvom rozšírení (napr. ScriptSafe, uBlock Origin, HTTPS Everywhere, NoScript).
• Experimenty a preukázanie zvýšenia bezpečnosti prehliadača.

2. Bezpečnosť webového servera.

• Charakteristika webových serverov a ich funkcie.
• Výber webového servera (napr. nginx, apache, iný)
• Štandardné prevádzkové procedúry, bežné chyby v konfigurácii.
• Zraniteľnosti vybratého (jedného alebo viacerých) webového servera.
• Zvýšenie bezpečnosti prostredníctvom rozširujúcich modulov (napr. mod_security).
• Testovanie zvýšenej bezpečnosti.

3. Zvýšenie odolnosti webových aplikácii proti útokom typu DDoS, za pomoci horizontálneho škálovania.

·         Analýza možností využitia loadbalancera (haproxy, nginx,...).

·         Loadbalancer vs. stateless/statefull spojenia.

·         Zabezpečenie loadbalancera voči známym typom útokov (slowloris,...), zamedzenie inventarizácii architektúry (čo prezradia HTTP hlavičky?).

·         Autentifikácia&autorizácia (heslá, X.509, ACL, staging&production env).

·         Možnosti monitoringu loadbalancera (štatistiky, analýza logov, existencia rozšírení do monitorovacích systémov Zabbix,Nagios,...).

·         Vykonanie záťažových testov(ab,...), vyhodnotenie nameraných hodnôt a efektu horizontálneho škálovania.

4. Zvýšenie odolnosti webových aplikácii proti útokom typu DDoS, za pomoci využitia cache

·         Analýza hrozieb preťaženia systému - hľadanie úzkeho hrdla a limitov systému (metódou blackbox/whitebox testing), možnosti profilácie (aplikacia, db).

·         Analýza možností optimalizácii na jednotlivých vrstvách (db, webserver,...).

·         Možnosti použitia cache vs. statický, pseudo statický a dynamicky obsah.

·         Analýza dostupných riešení pre cache obsahu (varnish,...).

·         Nasadenie cache obsahu pre Vami zvolený system (voľne dostupné CMS,Eshop).

·         Možnosti monitoringu cache (nástroje na získanie štatistík, analýza logov, existencia rozšírení do monitorovacích systemov Zabbix,Nagios,...).

·         Vykonanie záťažových testov(ab,...), vyhodnotenie nameraných hodnôt a efektu cache(web developer toolbar).

5. Penetračné testovanie webového systému.

• Čo je penetračné testovanie, jeho fázy a typy.
• Výber penetračného nástroja pre webové systémy (napr. Nikto, Zed Attack Proxy).
• Výber testovacieho webového systému (napr. OWASP Juice Shop, bWAPP a iné).
• Vytvorenie prostredia na experimentovanie.
• Testovanie webového systému na zraniteľnosti.
• Opatrenia na odstránenie zraniteľností.

6. Bezpečnosť elektronickej pošty.

• Charakteristika elektronickej pošty, funkcie a princípy.
• Formát poštovej správy a prehľad bezpečnostných hrozieb.
• Výber voľne šíriteľného balíku elektronickej pošty (napr. Xeams, Postfix a iné).
• Výber podporných nástrojov na experimentovanie so zraniteľnosťami elektronickej pošty a jej analýzy (napr. GoPhish, Mailhog, PhishTool).
• Experimentovanie s bezpečnostnými slabinami.
• Nástroje na zvýšenie bezpečnosti elektronickej pošty (napr. autentizácia DMARC, DKIM a SPF).

7. Bezpečnosť systému doménových mien.

• Charakteristika systému doménových mien (DNS)
• Výber voľne šíriteľného DNS (napr. BIND9, Knot DNS, MaraDNS)
• Zraniteľnosti a útoky na DNS.
• Experimenty s útokmi na DNS a obrana proti nim.

8. Nástroje Honeypot.

• Charakteristika nástrojov honeypots, typy a rozdelenie podľa interakcie
• Výber nástroja honeypot podľa zvolenej interakcie (napr. Honeyed, Specter, BOF, Covrie, T-Pot, Nepenthes, Honey trap, Mwcollect, Sebeka, Argos).
• Nasadenie nástroja do verejnej sieti (podľa možnosti) alebo simulácia útokov v lokálnom prostredí
• Spracovávanie zachytených dát a ich analýza
• Zistené stratégie útokov.

9. Nástroje SIEM.

• Charakteristika nástrojov SIEM, ich častí a funkcie.
• Výber nástroja SIEM (napr. ELK Stack, Splunk, Wazuch a iné).
• Nasadenie nástroja do infraštruktúry (podľa možnosti) alebo použitie datasetu so záznamami v lokálnom prostredí.
• Spracovávanie zachytených dát a ich analýza.
• Tvorba detekčných pravidiel.

10. Certifikačná autorita.

• Charakteristika certifikačnej autority (CA) a jej funkcie.
• Výber voľne šíriteľnej CA (napr. EJBCA, Dogtag PKI, XiPKI, OpenCA).
• Experimenty s funkciami zvolenej CA.
• Slabiny CA.
• Bezpečnostné útoky na CA a obrana proti nim.

 

Rámcový harmonogram riešenia a odovzdania projektu:

 

Študent si tému projektu vyberie na cvičení v 1. týždni, jej obsah a prípadné zdroje konzultuje s cvičiacim. V danej skupine si jednu tému môže vybrať iba jeden študent. Po dohode s cvičiacim môžu byť akceptované aj iné aktuálne vlastné témy. Konzultácie k témam pokračujú aj 2. a 3. týždeň. 

V 3. týždni študent vypracuje špecifikáciu projektu a vloží ju v deň konania cvičenia do 23:59 hod do AIS. Špecifikácia  projektu (zadanie) je v rozsahu maximálne 3 strany A4 (500-900 slov) vo formáte PDF. V špecifikácii študent spresní okruhy témy, ktorým sa bude venovať a očakávané výstupy jeho práce (analýza oblasti predmetu projektu, výkonové alebo iné porovnanie, inštalácia a prezentácia nástroja/techniky, experimentovanie s nástrojom/technikou, vlastný nástroj, best practices / checklist, ...).

V 4. a 5. týždni študent podľa harmonogramu na cvičení prednesie 1. progess report o riešení projektu. V progress reporte študent uvedie stručne špecifikáciu a teoretický úvod do riešenej problematiky. Na prezentáciu progress reportu si študent pripraví  prezentáciu v Powerpointe, prezentácia každého študenta bude trvať 10 minút. Harmonogram prezentácií je uvedený nižšie. Po prezentácii ešte v deň konania cvičenia študent svoju prezentáciu uloží do AIS.

V 6. a 7. týždni študent podľa harmonogramu prednesie na cvičení 2. progess report o riešení projektu. V progress reporte študent uvedie opis nástrojov v danej oblasti projektu a zdôvodní výber konkrétneho nástroja. Na prezentáciu progress reportu si študent pripraví  prezentáciu v Powerpointe, prezentácia každého študenta bude trvať 10 minút. Harmonogram prezentácií je uvedený nižšie. Po prezentácii ešte v deň konania cvičenia študent svoju prezentáciu uloží do AIS.

V 8. a 9. týždni študent podľa harmonogramu prednesie na cvičení 3. progess report o riešení projektu. V progress reporte študent uvedie zvolenú konfiguráciu, nastavenie nástrojov pre experiment a predbežné výsledky experimentov. Na prezentáciu progress reportu si študent pripraví  prezentáciu v Powerpointe, prezentácia každého študenta bude trvať 10 minút. Harmonogram prezentácií je uvedený nižšie. Po prezentácii ešte v deň konania cvičenia študent svoju prezentáciu uloží do AIS.

V 10. a 11. týždni študent podľa harmonogramu prednesie na cvičení 4. progess report o riešení projektu. V progress reporte študent uvedie finálne výsledky experimentov. Na prezentáciu progress reportu si študent pripraví  prezentáciu v Powerpointe, prezentácia každého študenta bude trvať 10 minút. Harmonogram prezentácií je uvedený nižšie. Po prezentácii ešte v deň konania cvičenia študent svoju prezentáciu uloží do AIS.

V 12. týždni študent v deň cvičenia do 23:59 hod odovzdá do AIS záverečnú správu z riešenia projektu. Správa z riešenia projektu bude v rozsahu najmenej 20 strán A4 (efektívne) vo formáte PDF. Obrázky (najmä screenshoty obrazovky dokumentujúce experimenty) sú žiadané. Odporúčame použiť štruktúrovaný text. Správu napíšte v slovenskom alebo v anglickom jazyku. Plagiáty nie sú akceptované. Správa musí obsahovať zoznam zdrojov (aj internetových), z ktorých študent čerpal (bibliografia). Textové spracovanie bude vo formáte ACM alebo IEEE. Šablóny formátov možno nájsť na

ACM Journal Article - http://www.acm.org/publications/submissions/

IEEE Conference Proceedings - http://www.ieee.org/conferences_events/conferences/publishing/templates.html

 

 

Požadované výstupy od študentov:

 

1. týždeň - výber témy projektu - na cvičení, oznámiť cvičiacemu

3. týždeň - špecifikácia projektu – uložiť do AIS v deň konania cvičenia do 23:59

4. a 5. týždeň – progress report I podľa harmonogramu, prezentáciu uložiť do AIS v deň konania cvičenia

6. a 7. týždeň – progress report II podľa harmonogramu, prezentáciu uložiť do AIS v deň konania cvičenia

8. a 9. týždeň – progress report III podľa harmonogramu, prezentáciu uložiť do AIS v deň konania cvičenia

10. a 11. týždeň – progress report IV podľa harmonogramu, prezentáciu uložiť do AIS v deň konania cvičenia

12. týždeň – odovzdanie záverečnej správy do AIS v deň konania cvičenia do 23:59

 

Požiadavky na špecifikáciu projektu:

 

Tému si treba doplniť a bližšie špecifikovať. Mohla by obsahovať napríklad:

• prehľad v oblasti, prípadne analýza najznámejších nástrojov v oblasti projektu
• zoznam vybratých oblastí témy, ktoré plánujete analyzovať
• detailný opis problémov, ktoré plánujete analyzovať
• inštalácia a experimentovanie s nástrojom,
• časový plán vrátane cieľov, ktoré dosiahnete v dátume progress reportov
• zoznam základných použitých prameňov

 

Hodnotenie:

 

Špecifikácia projektu – max. 5 bodov

Kritériá hodnotenia:

-       rozsah plánovaných aktivít – max. 1,5 bodu

-       jasnosť a zrozumiteľnosť stanovených cieľov – max. 1,5 bodu

-       očakávané výstupy – max. 1 bod

-       zoznam relevantnej literatúry­ – max. 1 bod

 

Progess report I – max. 3 body

Kritériá hodnotenia:

-       odbornosť teoretického úvodu do riešenej problematiky – max. 1,5 bodu

-       jasnosť a zrozumiteľnosť prezentácie – max. 0,5 bodu

-       odpovede na položené otázky – max. 1 bod

 

Progess report II – max. 3 body

Kritériá hodnotenia:

-       opis vybratých nástrojov a zdôvodnenie ich výberu – max. 1,5 bodu

-       jasnosť a zrozumiteľnosť prezentácie – max. 0,5 bodu

-       odpovede na položené otázky – max. 1 bod

 

Progess report III – max. 4 body

Kritériá hodnotenia:

-       vhodnosť zvolenej konfigurácie pre experimentovanie a nastavenie nástrojov – max. 1 bod

-       rozsah a kvalita predbežných výsledkov experimentov – max. – 1,5 bodu

-       jasnosť a zrozumiteľnosť prezentácie – max. 0,5 bodu

-       odpovede na položené otázky – max. 1 bod

 

Progess report IV – max. 5 bodov

Kritériá hodnotenia:

-       rozsah a kvalita finálnych výsledkov experimentov – max. – 3,5 bodu

-       jasnosť a zrozumiteľnosť prezentácie – max. 0,5 bodu

-       odpovede na položené otázky – max. 1 bod

 

Záverečná správa z riešenia projektu a ďalšia dokumentácia – max. 10 bodov.

Kritériá hodnotenia:

-       splnenie cieľov špecifikácie projektu – max. 1 bod

-       kvalita technickej dokumentácie (teoretický úvod, architektúra prostredia experimentu, nastavenie konfigurácie nástrojov, screenshoty obrazoviek) - max. 3 body

-       dokumentovanie výsledkov experimentov (grafy, tabuľky, screenshoty obrazoviek) – max. 4 body

-       jasnosť a zrozumiteľnosť textu finálnej správy – max. 1 bod

-       zoznam použitej literatúry­ – max. 1 bod

 

Hodnotenie sa bude vykonávať s granularitou 0,5 boda.

Nedochvílnosť sa bude penalizovať.

 

Na úspešné absolvovanie cvičení a pripustenie ku skúške musí študent dodať všetky požadované výstupy a dosiahnuť z cvičení aspoň 16 bodov.

 

Doc. Ing. Ladislav Hudec, CSc., garant predmetu