• A
  • A
  • A
  • ABC
  • ABC
  • ABC
  • А
  • А
  • А
  • А
  • А
Regular version of the site
Article
Detection of crawler traps: formalization and implementation—defeating protection on internet and on the TOR network

David B., Delong M., Filiol E. A.

Journal of Computer Virology and Hacking Techniques. 2021.

Book chapter
Paper-tapping to Exfiltrate Data using Laser Printer

Filiol E. A., Gautier P., le Scanf F. et al.

In bk.: 16th International Conference on Cyber Warfare and Security (ICCWS’21), February 25th- 26th, 2021, Tennessee, U.S.A: abstracts and conferens materials. Reading: Academic Conferences International Limited, 2021. P. 11.

Working paper
Preventive Model-based Verification and Repairing for SDN Requests

Burdonov I., Kossachev A., Nina Yevtushenko et al.

arxiv.org. Computer Science. Cornell University, 2020

Computer Networks and Telecommunications

2020/2021
Academic Year
RUS
Instruction in Russian
5
ECTS credits
Type:
Compulsory course
When:
1 year, 1, 2 module

Instructor

Программа дисциплины

Аннотация

Курс «Компьютерные сети и телекоммуникации» является продолжением базового курса по компьютерным сетям и сетевым технологиям и читается на 1 или 2 курсе магистратуры соответствующих ВУЗов. Основная цель — дать теоретическое представление о современных сетевых технологиях и основах сетевой информационной безопасности. Основу курса составляет лекционный материал и практикумы, на которых студентам демонстрируются принципы и особенности работы отдельных сетевых протоколов и сервисов. Помимо этого, студентам выдаются практические задания для получения и закрепления навыков в применении наиболее интересных сетевых технологий. В ходе курса студенты знакомятся с основными криптографическими примитивами и их применением в составе реальных протоколов, таких как SSL/TLS и IPsec VPN. Также даются базовые сведения об основах Web-безопасности, системах защиты периметра и беспроводных сетей, подходы к защите от DDoS-атак. Кроме того, рассматриваются наиболее актуальные сетевые технологии, такие как сети анонимизации, сети P2P и CDN, потоковые медиа-сервисы.
Цель освоения дисциплины

Цель освоения дисциплины

  • получение теоретических знаний представление о современных сетевых технологиях и основах сетевой информационной безопасности
  • получение практических навыков в области сетевой информационной безопасности
Планируемые результаты обучения

Планируемые результаты обучения

  • Знать основные модели угроз в системе Web-сервер-Web-клиент и дефекты приводящие к инъекциям SQL и JavaScript, и узявимостям XSS
  • Знать основные понятия ИБ и схемы и базовые примитивы шифрования
  • Уметь проектировать реализации сервисов безопасности
  • Уметь программировать сетевой обмен с использованием средств безопасности транспортного уровня TLS
  • Уметь администрировать системы защиты периметра
  • Знать основные подходы к формированию, топологии и подходы к защите беспроводных сетей
  • Иметь навыки по настройке требуемого уровня анонимности и выявлению базовых средств деанонимизации
  • Знать основные подходы к решению задачи надёжного и масштабируемого распространения данных в сети
  • Знать основные особенности, требования и протоколы для передаче потоковых данных в сети
  • Знать базовые модели угроз и оценки рисков, а также основные атаки на исчерпание ресурсов и подходы к защите от них
Содержание учебной дисциплины

Содержание учебной дисциплины

  • Базовые понятии информационной безопасности. Направления в обеспечении ИБ. Безопасность Web.
    Компьютерные сети: информационная безопасность, новые задачи и технологии. Базовые понятии безопасности информации (конфиденциальность, целостность, доступность). Направления информационной безопасности: безопасность ПО, сетевая безопасность, безопасность ОС, криптография. Безопасность Web. Модели угроз в системе Web-сервер-Web-клиент. Дефекты, приводящие к инъекциям. SQL-инъекции. Объектная модель DOM. Понятие HTTP-сессии. Инъекции JavaScript. Cross Site Scripting (XSS), варианты XSS. Место криптографии в обеспечении безопасности.
  • Безопасная передача данных в недоверенной среде. Защита передаваемых данных.
    Понятия аутентификации и авторизации, их значение для обеспечения информационной безопасности. Доступ к сетевым ресурсам, модель угроз. Криптография, шифрование, принцип Керкгоффса. Общая модель шифрования/дешифрования. Методы шифрования: подстановка, перестановка. Модель одноразового блокнота, преимущества и недостатки. Схемы симметричного и асимметричного шифрования. Блочные шифры. Режимы шифрования (ECB, CBC, CFB, OFB, CTR), преимущества и недостатки. Алгоритм DES: параметры, схема, функция шифрования. Проблемы DES, переход к 3DES. Алгоритм AES: схемы шифрования/дешифрования, вспомогательные процедуры. Протокол Диффи-Хеллмана: понятие односторонней функции. Схема RSA. Код проверки подлинности сообщения (MAC), HMAC: MD5, SHA1. Механизм цифровой подписи. Использование хеш-функции. Схема DSA: генерация и проверка подписи. Эллиптические кривые на множестве действительных чисел. Понятие группы в алгебре. Группа для эллиптических кривых. Сложение точек кривой. Скалярное умножение и логарифм. Понятие поля в алгебре. Эллиптические кривые над полем Fp. Циклические подгруппы. Схема цифровой подписи ECDSA: генерация и проверка подписи.
  • Применение криптографии для задач защиты информации при передаче.
    Сертификаты и цепочки доверия. Модели инфраструктуры сертификатов. Организация защищённого канала связи на разных уровнях сетевого стека. End-to-End шифрование. SSL/TLS – защищённый канал на сеансовом уровне. Атака “Rogue packet”. Понятие шифронабора. Протоколы, входящие в SSL/TLS. Транспортный протокол, его функции и возможности. Схема рукопожатия: разбиение на фазы, согласуемые параметры обмена. Вычисление сеансовых ключей шифрования. Передача данных приложения по защищённому каналу. Понятие сессии и соединения, их состояния. Процесс согласования и изменения состояния. Схемы сокращённого и повторного рукопожатия.
  • Защита хранимых данных и вычислительных ресурсов.
    Понятие периметра. Параметры системы защиты периметра. Межсетевые экраны. Задачи межсетевого экрана. Особенности размещения межсетевого экрана. Особенности обработки данных. Зона DMZ. Стек TCP/IP: передача данных, формат пакетов, нумерация портов Фильтрация пакетов, преимущества и недостатки. Защита от подделки адресов. Ограничение доступа к серверам. Учёт состояния потока. Система NAT. IP-фрагментация, атаки на её основе. Проксирование отдельных приложений. Системы защиты от вторжений IDS/IPS. Подход на основе политик и аномалий. Система управления формой трафика и её функции. Ограничения систем защиты периметра.
  • Особенности беспроводных и мобильных технологий. Их влияние на требования и подходы к безопасности.
    Локальные и глобальные сети. Беспроводные сети без и с предоставлением инфраструктуры. Классификация беспроводных сетей. Беспроводные локальные сети Wi-Fi, Bluetooth. Mesh-сети: достоинства и недостатки. Сравнение топологий беспроводных сетей. Особенности беспроводной связи с точки зрения безопасности, основные угрозы: устройства-чужаки, нефиксированная природа связи, уязвимости, атаки, утечки. Предотвращение вторжений (Wireless IPS): виды проверяемых событий. Шифрование данных в беспроводных сетях: WEP, WPA, WPA2. Проблемы WEP. Пример Wi-Fi в московском метро, утечка персональных данных при авторизации.
  • Анонимность в сети.
    Понятие частных и виртуальных частных сетей (VPN). Логические сети и их свойства. Понятия туннелирования и инкапсуляции. Задачи, решаемые с помощью туннелирования. Примеры туннелей. IP-туннели. Раздельное туннелирование. Необходимые условия для создания VPN. Типы подключений VPN. Добровольное и обязательное туннелирование. Классификация VPN: по назначению и способу реализации. VPN и межсетевой экран – взаимное расположение, преимущества и недостатки. Протоколы, использующиеся для организации VPN. Протокол IPsec: решаемые задачи, модель угроз, архитектура, режимы подключения. Основные элементы IPsec: защищённое соединение, заголовок аутентификации, шифрограммы, протокол управления ключами. Коммерческие VPN-сервисы: схема использования, риски. Особенности работы VPN-клиента. Уязвимости VPN-сервисов: IPv6 и DNS-утечки. Потребность в анонимности. Социальная и техническая анонимность. Основные определения, количественная оценка анонимности. Виды анонимности: источника, получателя, взаимодействия, K-анонимность. Анонимность и приватность. Определения: псевдонимность, отсутствие прямых связей, ненаблюдаемость. Идентификаторы пользователя в сети: уровня устройства, ОС, сетевого клиента. Задача обеспечения технической анонимности. Прокси-серверы и их влияние на запросы пользователей, влияние на анонимность. VPN-сервисы и их влияние на анонимность. Анонимные сети. Mix-сети. Луковая маршрутизация. Сеть Tor. Схема передачи пакетов, виды узлов. Управляющие узлы и консенсус. Скрытые сервисы анонимной сети. Сеть I2P. Основные понятия, взаимодействие узлов. Атаки на анонимные сети. Способы защиты от атак. Деанонимизирующие признаки ОС. Пассивная и активная деанонимизация. Сокрытие признаков сетевого стека. Деанонимизирующие признаки веб-браузера. Построение цифрового отпечатка браузера. Защита от отслеживания на уровне веб-браузера. Характеристики пользователя сети и механизмы их утечек. Схемы анонимизации. Микс-сети. Луковая маршрутизация.
  • Задача надёжного и масштабируемого распространения данных в сети
    Сеть Интернет как средство коммутации и как хранилище содержимого. Отличие задач коммутации и распространения содержимого. Подходы к доставке содержимого – CDN, P2P. Особенности Интернет-трафика: изменчивость, «асимметричность», разные требования к параметрам сети. Закон Ципфа. Развитие подходов к распространению содержимого. Особенности использования отдельного веб-сервера. Веб-кеширование: на стороне клиентов, на стороне серверов (балансировка нагрузки). Ограничения веб-кеширования. Сети доставки содержимого (CDN), два подхода к использованию, история развития, функции. Задачи, решаемые при создании и использовании CDN. Стратегии размещения узлов. Выбор содержимого для реплицирования. Выбор CDN-узла, и способы перенаправления клиентов: IP-anycast, HTTP, DNS. Частичное и полное перенаправление DNS. Пример CDN Akamai: статистика, алгоритм работы, обеспечение надёжности и доступности, оптимизация транспортного уровня. Влияние CDN на глобальную сеть. Определение и свойства одноранговых сетей (P2P). Сравнение с клиент-серверной архитектурой. Преимущества P2P. Оценка скорости распространения файла. Виды P2P сетей. Свойства централизованных P2P сетей. Пример Napster. Свойства децентрализованных P2P сетей. Пример Gnutella. Особенности гибридных P2P сетей. Классификация децентрализованных P2P сетей. Протокол BitTorrent. Задачи обеспечения общего доступа к содержимому в модели P2P. BitTorrent: поиск пиров, дублирование содержимого, поощрение загрузки содержимого (стратегия tit-for-tat), централизованные элементы и возможности отказа от них. Поиск данных в децентрализованной P2P-сети: централизованный и распределённые подходы. Алгоритмы построения распределённого индекса (DHT). Пример алгоритма Chord и его расширение. Пример выполнения запроса и перестроения индекса при отключении узла. Пример алгоритма CAN. Вопросы безопасности в контексте P2P.
  • Потоковые данные и требования к качеству связи.
    Типы приложений, использующих потоковые данных. Сравнение схем взаимодействия. Свойства отдельных видов приложений. Проблемы при реализации потоковых сервисов. Использование TCP/UDP для передачи потоковых данных. Цифровой звук: физика, восприятие, передача, дискретизация. Теорема Котельникова. Методика кодирования. Сжатие звука – с потерями и без. Алгоритмы и форматы сжатия. Схема кодирования. Цифровое видео: терминология, виды кадров, особенности передачи, сжатие кадра. Алгоритмы сжатия видео. MPEG-сжатие: I-, P-, B-кадры. Потоковое вещание. Первое поколение, последовательная загрузка, буферизация, недостатки. Второе поколение – вещание в реальном времени: потоковый протокол RTSP, метафайл, RTSP-сессия, недостатки. Третье поколение: HTTP-стриминг, адаптивный битрейт. Вещание в реальном времени: теория и практика. IP-телефония: VoIP с фиксированной и адаптивной задержкой. Протоколы RTP и SIP. Поиск пользователя. Подходы к коррекции ошибок при потере пакетов: FEC и интерливинг.
  • Доступность ресурсов как цель для атаки. Атаки на исчерпание возможностей канала.
    Модель угроз STRIDE. Оценка рисков по модели DREAD. DoS и DDoS-атаки. Атакуемые ресурсы системы. Атака на канальном уровне. Атака с усилением: определение, схема. Пример атаки с DNS-усилением: схема, динамика, возможность осуществления. Пример Smurf-атаки с усилением ICMP. Memcached-атака. DDoS-атаки уровня TCP/IP. Атаки Route Hijacking, DNS cache poisoning, TCP-SYN-Flood. Механизмы защиты: TCP-SYN-cookies, протокол SCTP. DDoS-атаки уровня приложений. Атака WordPress Pingback. Ботнеты и их использование для DDoS-атак. Ботнеты из IoT-устройств: Mirai. Система Google Project Shield. Защита от DDoS на основе CDN. Протокол QUIC: встроенная защита от усиления. Подходы к смягчению эффекта DDoS.
Элементы контроля

Элементы контроля

  • неблокирующий Домашнее задание (ДЗ1)
  • неблокирующий Домашнее задание (ДЗ2)
  • неблокирующий Домашнее задание (ДЗ3)
  • неблокирующий Экзамен (Э)
Промежуточная аттестация

Промежуточная аттестация

  • Промежуточная аттестация (2 модуль)
    0.12 * Домашнее задание (ДЗ1) + 0.12 * Домашнее задание (ДЗ2) + 0.16 * Домашнее задание (ДЗ3) + 0.6 * Экзамен (Э)
Список литературы

Список литературы

Рекомендуемая основная литература

  • Stuttard, D., & Pinto, M. (2011). The Web Application Hacker’s Handbook : Finding and Exploiting Security Flaws (Vol. 2nd ed). Indianapolis: Wiley. Retrieved from http://search.ebscohost.com/login.aspx?direct=true&site=eds-live&db=edsebk&AN=391534

Рекомендуемая дополнительная литература

  • Martin Roesch, & Stanford Telecommunications. (1999). Snort - Lightweight Intrusion Detection for Networks. Retrieved from http://search.ebscohost.com/login.aspx?direct=true&site=eds-live&db=edsbas&AN=edsbas.E2D9A214