Osnova témat

  • Úvod

    Sbalit vše Rozbalit vše
    Logo
    reg. číslo CZ.1.07/2.2.00/15.0070, název projektu „Vzdělávání pro bezpečnostní systém státu“

    BEZPEČNOSTNÍ TECHNOLOGIE

    Charakteristika a cíle předmětu

    Předmět poskytuje informace technického a systémového charakteru v míře nezbytné pro pochopení principů kybernetických útoků proti komunikační infrastruktuře, operačním systémům i aplikačním programům. Cílem je vybavit budoucí manažery v oblasti kybernetické obrany znalostmi, které jim umožní správně se orientovat v dané problematice, posuzovat nabízená řešení, přijímat náležitá opatření a v případě reálné potřeby pak organizovat účinnou obranu včetně kroků směřujích k zajištění trvalé činnosti dané instituce nebo k její obnově.

    Rozvrh hodin

    Poř. čísloNázev tématu, stručný obsahPočet hodinDruh výuky
    1. Principy počítačových sítí, referenční model ISO/OSI. Vybrané základní protokoly: Ethernet, WLAN, IPv4, IPv6 (úvod).  2 P
    2. Protokoly sady TCP/IP: DNS, DHCP, SMTP, SNMP, HTTP, SYSLOG. 2 P
    3. Konfigurace síťových zařízení s ohledem na bezpečnost, zjišťování stavu a monitoring.  4 LC
    4. Úvod do kryptografických systémů a jejich implementace. Digitální certifikát, elektronický podpis. Autentizace, autorizace a evidence. Firewally, systémy detekce průniku. 2 P
    5. Protokoly 802.1X, RADIUS, SSL/TLS, IPSec, SSH, DNSSEC, Kerberos. 2 P
    6. Praktická implementace kryptografických systémů. Práce s elektronickým podpisem, konfigurace prvků. 4 LC
    7. Bezpečnostní podsystém MS Windows. 4 P
    8. Přístupová známka a bezpečnostní deskriptory. 4 LC
    9. Bezpečnost souborů a adresářů. 4 LC
    10. Audit MS Windows. 4 LC
    11. Autentizační protokoly Windows. 4 LC
    12. Bezpečnost informačních systémů. 4 S

  • Principy počítačových sítí

    Stručný obsah

    • Úvod po počítačových sítí, terminologie a používaná média
    • Základní topologie a modely síťové architektury
    • Ethernet

    Principy počítačových sítí

    Počítačové sítě v současném pojetí vznikly přibližně v 60. letech dvacátého století. V té době ovšem již dlouho existovaly sítě dálnopisné, které se k přenosům dat nabízely, avšak poskytovaly jen velmi nízkou rychlost. S rozvojem sálových počítačů a později minipočítačů nastal i rozvoj sítí.

  • Protokoly sady TCP/IP

    Stručný obsah

    • Protokol IP verze 4, struktura záhlaví IP paketu, bezpečnostně relevantní pole
    • Protokol IP verze 6, struktura záhlaví IP paketu, zřetězující záhlaví a bezpečnost
    • Protokoly TCP a UDP
    • Vybrané protokoly aplikační vrstvy
    • Základní bezpečnostní problémy TCP/IP

  • Konfigurace síťových zařízení

    Stručný obsah

    • Základní obsluha operačního systému IOS síťových zařízení
    • Tvorba jednoduché sítě využívající směrovačů
    • Tvorba jednoduché sítě využívající přepínačů
    • Základní diagnostika síťových zařízení, ladění konfigurace

  • Úvod do kryptografických systémů

    Stručný obsah

    • Kódování, šifrování; dělení šifrovacích metod
    • Digitální certifikát, elektronický podpis
    • Autentizace, autorizace a evidence
    • Firewally, systémy detekce průniku

  • Protokoly 802.1X, RADIUS, SSL/TLS, IPSec, SSH, DNSSEC, Kerberos

    Stručný obsah

    • Lokální a centrální autentizace
    • Protokoly 802.1X, RADIUS a jejich součinnost
    • Bezpečnost na síťové vrstvě - protokol IPSec (orientačně GRE)
    • Princip a místo protokolů SSL/TLS, jejich využití
    • Bezpečnostní protokoůy aplikační vrstvy SSH, DNSSEC
    • Komplexní bezpečnostní řešení - protokol Kerberos

  • Praktická implementace kryptografických systémů

    Stručný obsah

    • Práce s elektronickým podpisem, bezpečnostní konfigurace síťových prvků
    • Nástroje pro diagnostiku zabezpečení
    • Nástroje pro penetrační testování

  • Bezpečnostní podsystém MS Windows

    Bezpečnostní podsystém je nejčastěji charakterizován pomocí čtyř jeho složek:

    1. LSA - Local Security Authority.
    2. SAM - Security Accounts Manager.
    3. SRM - Security Reference Monitor.
    4. Přihlašovací proces.

    Popis jednotlivých složek je součástí přiložených materiálů.

  • Přístupová známka a bezpečnostní deskriptory

    Ve Windows se uživatelé i některé další objekty (lokální a globální skupiny, počítače, domény) označují jedinečnými identifikátory (SID – Security Identifier). Vždy, když administrátor pracuje například se jménem uživatelského účtu, operační systém toto jméno zobrazí jako náhradu příslušného SIDu.

    K identifikaci bezpečnostního kontextu procesu operační systém používá zvláštní datovou strukturu zvanou přístupová známka (access token). Bezpečnostní kontext je tvořen informací o privilegiích, uživatelských účtech a skupinách, které jsou s procesem spojeny. Přístupová známka je vytvořena na konci přihlašovacího procesu. V okamžiku, kdy dojde k ověření jména a hesla, lze potřebnou informaci získat ze SAM databáze, z databáze politiky Lsass, případně z aktivního adresáře, podle toho, zda se uživatel hlásí prostřednictvím lokálního nebo doménového účtu.

    Bezpečnostní mechanismus Windows využívá jednotlivé části přístupové známky k tomu, aby určil, zda může proces získat přístup k některému ze zabezpečených objektů, jako například k souboru na NTFS disku. Konkrétně se jedná o pole SID uživatelova účtu a SIDy skupin, jejichž je uživatel členem.

  • Bezpečnost souborů a adresářů

    Bezpečnost je zajištěna přístupovými právy definovanými v bezpečnostním deskriptoru. Jedná se o lokální bezpečnost na NTFS disku, nebo o síťovou bezpečnost, pokud uživatel k souboru přistupuje prostřednictvím sdíleného adresáře.

  • Audit MS Windows

    Události související s bezpečností operačního systému se zaznamenávají do bezpečnostního logu. Kromě něj existuje ještě aplikační log, do kterého zaznamenávají události některé ze spuštěných aplikací, a systémový log, který využívá samotný operační systém - například k zápisu informací o průběhu svého spouštění, zavádění ovladačů a spouštění služeb. Další logy se vytvářejí v závislosti na roli, jakou počítač v síti plní. Vlastní logy tak má adresářová služba, DNS server a služba replikace souborů. Prohlížet obsah log souborů a konfigurovat jejich vlastnosti umožňuje nástroj Event Viewer.

  • Autentizační protokoly Windows

    Autentizace je proces ověřující identitu uživatele. Aby měl operační systém jistotu, že uživatel je opravdu tím kým tvrdí, že je, požaduje po uživateli nějaký důkaz. Pro tento důkaz se v literatuře používá označení uživatelské pověření (user credentials), dále jen pověření. Pověření reprezentuje nějaký typický znak nebo jedinečnou informaci, která je v okamžiku autentizace dostupná všem zúčastněným stranám.

  • Bezpečnost informačních systémů

    Dokumenty vymezující bezpečnost KIS v rezortu MO:

    • zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti,
    • vyhláška č. 523/2005 Sb., o o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor,
    • RMO č. 22/2006 Ochrana utajovaných informací v rezortu Ministerstva obrany,
    • Normativní výnos MO Bezpečnostní politika informačních a komunikačních systémů v rezortu MO.

  • Požadavky ke zkoušce

    Zvýrazněno

    Přehled látky

    Principy počítačových sítí – terminologie, média. Referenční model ISO/OSI, TCP/IP.

    Ethernet – podstata, typy, formát rámce, význam polí, Sada protokolů TCP/IP (IP, TCP, UDP, ARP, obecně SNMP, DNS, DHCP).

    Protokol IP – význam, popis paketu, účel hlavních polí záhlaví.  Adresace – třídy adres / CIDR/VLSM, maska podsítě.

    Podstata směrování u protokolu IP. Popis činnosti směrovače, Zininova pravidla. Charakteristika směrovacích protokolů RIP a OSPF (od čeho odvozují údaje do směrovací tabulky, co je metrikou).

    Základní charakteristika protokolu IPv6, rozdíly oproti IPv4.

    Bezdrátové sítě WiFi (IEEE 802.11), základní charakteristika, kmitočtová pásma, kanály, možné způsoby zabezpečení.

    Charakteristika protokolů SSL/TLS.

    Kryptografie, základní pojmy. Šifrovací algoritmy, dělení. Hešování. Diffieho-Hellmanův algoritmus.

    Schéma bezpečnostního podsystému Windows.

    Přístupová známka a bezpečnostní deskriptor.

    Audit Windows.

    Informační a komunikační systémy dle zákona 412/2005 a vyhlášky 523/2005

    Doporučená literatura

    Možné varianty otázek

    Charakterizujte referenční modely síťové architektury ISO/OSI a TCP/IP, popište protokol IP – význam, strukturu paketu, účel hlavních polí záhlaví a vysvětlete rovněž problematiku adresace (maska podsítě, třídy adres / CIDR/VLSM).

    Pojednejte o problematice směrování, popište Zininova pravidla, vysvětlete obecně činnost směrovače a význam protokolu ARP. Charakterizujte směrovací protokoly RIP a OSPF; popište, jakým způsobem odvozují údaje do směrovací tabulky, co je metrikou.

    Popište protokol Ethernet – uveďte základní charakteristiky používaných variant, vysvětlete formát rámce a význam jeho polí, pojednejte o virtuálních lokálních počítačových sítích, objasněte pojem trunk

    Uveďte základní charakteristiku protokolu IPv6, popište rozdíly oproti IPv4 a možnosti přechodu od IPv4 k IPv6. Pojednejte o jeho bezpečnostních možnostech – protokol IPSec.

    Pojednejte o šifrovacích algoritmech, uveďte jejich dělení, vlastnosti, výhody, nevýhody a charakterizujte konkrétně vybrané zástupce. Vysvětlete podstatu hešovaní a jeho praktické využití, charakterizujte konkrétně vybrané zástupce. Popište účel a realizaci Diffieho-Hellmanova algoritmu.

    Uveďte části bezpečnostního podsystému Windows a objasněte jejich význam při zajištění bezpečnosti Windows.

    Co je to SID, k čemu slouží a co obsahuje přístupová známka a bezpečnostní deskriptor.

    K čemu slouží audit Windows, předveďte jeho využití.

    Definujte informační a komunikační systém dle zákona 412/2005. Co znamenají pojmy důvěrnost, integrita, dostupnost a odpovědnost. Jak se liší povinné a volitelné řízení přístupu. Jak se dosahuje bezpečnosti informačního systému dle vyhlášky 523/2005.