Detail předmětu
Bezpečnost a počítačové sítě
IBS Ak. rok 2024/2025 letní semestr 4 kredity
V předmětu se bude holisticky řešit zabezpečená komunikace na všech vrstvách TCP/IP zásobníku. Toto bude zahrnovat bazální znalosti kryptografie, zabezpečení DNS a poštovních protokolů, certifikáty a frameworky TLS/SSL, porovnání HTTP a HTTPS, případně TELNET a SSH, koncept VPN a jeho implementace v podobě IPsec, OpenVPN, WireGuard, overlay sítě jako Tor a I2P, útoky na linkové vrstvě jako ARP spoofing, MAC flooding a obrany vůči nim, koncept AAA a jeho implementaci v podobě RADIUS a 802.1x, kryptoměny jako Bitcoin.
Garant předmětu
Koordinátor předmětu
Jazyk výuky
Zakončení
Rozsah
- 26 hod. přednášky
- 6 hod. laboratoře
- 7 hod. projekty
Bodové hodnocení
- 60 bodů závěrečná zkouška
- 20 bodů půlsemestrální test
- 20 bodů projekty
Zajišťuje ústav
Přednášející
Jeřábek Kamil, Ing., Ph.D. (UIFS)
Malinka Kamil, Mgr., Ph.D. (UITS)
Pluskal Jan, Ing., Ph.D. (UIFS)
Veselý Vladimír, Ing., Ph.D. (UIFS)
Cvičící
Cíle předmětu
Cílem předmětu je seznámit studenty se základními principy síťové a systémové bezpečnosti a příslušnými protokoly a standardy. Předmět kromě obecných základů obsahuje i konkrétní řešení tak, aby byl student schopen navrhovat a administrovat bezpečnostní technologie.
Studenti umí nakonfigurovat bezpečné spojení mezi počítači. Mají přehled o principech autentizace a zabezpečených síťových službách a jsou schopni je administrovat: SSH, VPN, poštovní služby a další. Mají přehled o bezpečnostních technologiích používaných v bezdrátových sítích. Jsou schopni navrhnout a implementovat bezpečnou síťovou komunikaci. Umí vyhledávat ve standardech a používat je k řešení projektu.
Doporučené prerekvizity
- Počítačové komunikace a sítě (IPK)
- Síťové aplikace a správa sítí (ISA)
- Operační systémy (IOS)
Požadované prerekvizitní znalosti a dovednosti
- Základy operačních systémů Unix/Windows, virtualizace a kontejnerizace (Docker).
- Schopnost číst studijní texty v angličtině (standardy, RFC dokumenty).
- Architektura počítačových sítí (model ISO/OSI, TCP/IP).
- Činnost protokolů linkové a síťové vrstvy.
Literatura studijní
- Kurose, James F.: Computer networking : a top-down approach. 7th ed., Pearson, Essex, 2017, ISBN 978-1-292-15359-9
- Stallings, W.: Network security essentials : applications and standards. Hoboken, 2016, 978-0-13-452733-8.
- Anderson, Ross J.: Security Engineering: A Guide to Building Dependable Distributed Systems. John Wiley & Sons Inc, 2001, ISBN 0-471-38922-6.
Osnova přednášek
- Úvod, organizace předmětu, TCP/IP stack a technologie relevantní ke kurzu, kontejnerizace.
- Zabezpečení síťové komunikace na L7+L4: Kryptografie 101, certifikáty,
PKI, TLS/SSL (democvičení na Let's Encrypt a čitelnost HTTP vs.
nečitelnost HTTPS) - Zabezpečení síťové komunikace na L7: DNS a DoH (democvičení v rozejtí vlastního DNS serveru s DoH a white/blacklistingem)
- Zabezpečení síťové komunikace na L7: Emailová komunikace a DKIM, SPF, DMARC, reputační systémy (democvičení v podobě rozjetí vlastního mail serveru)
- Zabezpečení síťové komunikace na L3: Tunelování a VPN, primárně site-to-site VPN jako GRE, IPsec (democvičení na propojení dvou lokalit)
- Zabezpečení síťové komunikace na L3: primárně remote-access VPN jako OpenVPN, Wireguard (democvičení na vytvoření vlastního OpenVPN/Wireguard serveru)
- Zabezpečení síťové komunikace na L3: Overlay sítě jako Tor, I2P
(democvičení na Tor Browser) - Zabezpečení síťové komunikace na L2: Port security, DHCP
spoofing/snooping, ARP MitM / Dynamic ARP inspection (democvičení na port security) - Zabezpečení síťové komunikace na L2: WiFi (WPA123, WPS, protected management frames)
- Zabezpečení síťové komunikace při přístupu: Telnet vs. SSH, AAA,
RADIUS, 802.1x (democvičení na RADIUS autentizaci) - Zabezpečení síťové autentizace: LDAP, OAuth, JWT (ukázka single-sign on řešení)
- Zásada bezpečného designu sítí (zvaná přednáška Security@FIT)
- Zabezpečení finančního styku: Bitcoin 101 (democvičení na něco s
kryptoměnami) + Rekapitulace
Osnova laboratorních cvičení
V rámci každé přednášky proběhne v jejím závěru minidemonstrační cvičení k dané technologii. Na fakultním Git bude k dispozici strohý manuál ke každému tomuto democvičení, kde bude cílem projektu si vše z ukazovaného vyzkoušet klidně za použití jiných implementací téhož.
Osnova ostatní - projekty, práce
Cílem projektu je demonstrovat nabytí znalostí o zabezpečování komunikace na různých vrstvách TCP/IP. V rámci individuálního projektu bude student na svém zařízení realizovat následující úkony: registraci vlastní DNS domény a rozchození vlastního DNS serveru podporujícího DoH, rozjetí jednoduché webové prezentace v dané doméně zabezpečené HTTPS a mailového serveru, zprovoznění remote-site VPN a zabezpečení vlastní lokální LAN a WiFi infrastruktury proti neoprávněnému přístupu. Projekt bude odevzdán formou zevrubného report včetně konfiguračních a jiných souborů včetně testování/prokázání jednotlivých bodů. K projektu bude volitelně na konci k dispozici zájemcům obhajoba a v mezičase ad hoc laboratorní cvičení.
Průběžná kontrola studia
Půlsemestrální zkouška a realizace projektu.
Předpoklady ke zkoušce: Studenti musí během semestru získat alespoň polovinu všech bodů.
Rozvrh
| Den | Typ | Týdny | Místn. | Od | Do | Kapacita | PSK | Skup | Info |
|---|---|---|---|---|---|---|---|---|---|
| Po | laboratoř *) | 2., 3., 4., 5., 6., 7., 8., 9., 10., 12., 13. výuky | C304 | 13:00 | 14:50 | 20 | 2BIA 2BIB 3BIT | xx | Veselý |
| Po | přednáška | 1., 13. výuky | G202 | 15:00 | 16:50 | 80 | 2BIA 2BIB 3BIT | xx | Grégr |
| Po | přednáška | 2., 4., 5., 6., 7., 8., 9. výuky | G202 | 15:00 | 16:50 | 80 | 2BIA 2BIB 3BIT | xx | Veselý |
| Po | přednáška | 2025-02-24 | G202 | 15:00 | 16:50 | 80 | 2BIA 2BIB 3BIT | xx | Jeřábek |
| Po | přednáška | 2025-04-14 | G202 | 15:00 | 16:50 | 80 | 2BIA 2BIB 3BIT | xx | Pluskal |
| Po | přednáška | 2025-04-28 | G202 | 15:00 | 16:50 | 80 | 2BIA 2BIB 3BIT | xx | Malinka |
Zařazení předmětu ve studijních plánech
- Program BIT, 2. ročník, volitelný
- Program BIT (anglicky), 2. ročník, volitelný