Zagadnienia do egzaminu
1. Opisz i wskaż różnicę pomiędzy HTTPS a S-http
S-HTTP - (Secure HTTP) - jest to rozszerzenie standardu HTTP zapewniający bezpieczną wymianę informacji. S- HTTP jest w pełni zintegrowany z protokołem HTTP - ustalenia dotyczące ochrony przesyłanych stron HTML odbywają się z wykorzystaniem standardowych komunikatów HTTP. Specyfikacja S- HTTP zakłada, iż w procesie szyfrowania i uwierzytelniania informacji mogą zostać wykorzystane algorytmy kryptograficzne: DES, Triple- DES, IDEA, RC2, RC4 (do szyfrowania) oraz RSA, DSS, MD5, MD2 i SHA (do podpisów cyfrowych). S- HTTP jest stosunkowo mało rozpowszechniony, ponieważ najbardziej popularne przeglądarki WWW (Netscape Navigator, MS Internet Explorer) wykorzystują SSL. S- HTTP został wdrożony praktycznie tylko w przeglądarce Mosaic (NCSA, Spyglass).
HTTPS (ang. HyperText Transfer Protocol Secure) to szyfrowana wersja protokołu HTTP. Zamiast używać w komunikacji klient-serwer niezaszyfrowanego tekstu, szyfruje go za pomocą protokołu SSL. Zapobiega to przechwytywaniu i zmienianiu przesyłanych danych.
HTTPS działa domyślnie na porcie nr 443 w protokole TCP.
Wywołania tego protokołu zaczynają się od https:, a zwykłego połączenia HTTP od http:. Protokół HTTPS jest warstwę wyżej (na transporcie SSL), najpierw następuje więc wymiana kluczy SSL, a dopiero później żądanie HTTP. Powoduje to, że jeden adres IP może serwować tylko jedną domenę lub też tylko subdomeny danej domeny (zależnie od certyfikatu).
2. VPN – charakterystyka, protokoły, technologie, zastosowanie
VPN (Virtual Private Network) jest terminem, który odnosi się do wszystkich technologii umożliwiających bezpieczną komunikację poprzez sieć publiczną Internet. Technologie związane z VPN (Virtual Private Network) dostarczają takich funkcji jak tunelowanie, uwierzytelnianie oraz szyfrowanie.
VPN stosuje tzw. tunele pomiędzy bramami, by chronić prywatne dane w czasie ich przesyłania przez Internet. Tunelowanie jest procesem szyfrowania pakietów z danymi, tak by uczynić je niemożliwymi do przeczytania, gdy przechodzą przez sieć publiczną. Taki tunel VPN zestawiony przez Internet chroni wszystkie dane przechodzące przez niego, niezależnie od aplikacji.
Organizacja zajmująca się prywatnymi sieciami wirtualnymi (VPN Consortium – www.vpnc.org) wymienia trzy najważniejsze technologie VPN: trusted VPN, secure VPN i hybrid VPN
3. Scharakteryzuj znaczenie medium w bezpieczeństwo transmisji
4. Opisz cel, ideę oraz zastosowanie certyfikatów cyfrowych
Cyfrowy dokument, który pozwala zweryfikować, czy podpis elektroniczny należy do konkretnej osoby oraz potwierdza tożsamość instytucji lub osoby używającej określonego podpisu elektronicznego. Certyfikaty znajdują zastosowanie wszędzie tam, gdzie niezbędne jest potwierdzenie tożsamości instytucji lub osoby, a więc na przykład internetowe oddziały banków czy sklepy internetowe przyjmujące płatności kartami kredytowymi. Certyfikat pozwala sprawdzić, czy transakcję dokonujemy na właściwej stronie WWW i czy jest ona obsługiwana przez właściwą firmę. Zwiększa to wiarygodność operacji finansowych dokonywanych w internecie. Certyfikaty cyfrowe wykorzystuje się także w poczcie e-mail. Dołączane do wiadomości e-mail pozwalają sprawdzić, czy wiadomość nie jest fałszywa lub zmodyfikowana. Certyfikaty cyfrowe wydawane są przez specjalne urzędy certyfikacji, na przykład VeriSign, AT&T, GTE. Ang. digital certificate. Por. podpis cyfrowy, PGP.
5. Kryptoanaliza: scharakteryzuj ataki z tekstem jawnym znanym, wybranym, tekstem zaszyfrowanym
6. Wskaż różnice pomiędzy uznaniową a ścisłą kontrolą dostępu do zasobów
7. Scharakteryzuj kolejne etapy budowy polityki bezpieczeństwa w organizacji
8. Scharakteryzuj uwierzytelnianie z zaufaną stroną trzecią
uwierzytelnianie z udziałem zaufanej trzeciej strony – włącza w proces uwierzytelniania trzecią zaufaną stronę, która bierze na siebie ciężar weryfikacji danych uwierzytelniających podmiotu uwierzytelnianego. Po pomyślnej weryfikacji podmiot uwierzytelniany otrzymuje poświadczenie, które następnie przedstawia zarządcy zasobu, do którego dostępu żąda (serwerowi). Schemat ten pokazuje rysunek 4. Podstawową zaletą tego podejścia jest przesunięcie newralgicznej operacji uwierzytelniania do wyróżnionego stanowiska, które można poddać szczególnie podwyższonemu zabezpieczeniu. Należy też podkreślić potencjalną możliwość wielokrotnego wykorzystania wydanego poświadczenia (przy dostępie klienta do wielu zasobów, serwerów). Zaufana trzecia strona może być lokalna dla danej sieci komputerowej (korporacyjnej) lub zewnętrzna (wykorzystująca infrastrukturę uwierzytelniania dostępną w sieci rozległej np. publiczne urzędy certyfikujące).
9. Scharakteryzuj problematykę tworzenia efektywnych zabezpieczeń danych oraz informacji w organizacji
10. Scharakteryzuj uwierzytelnianie jednokierunkowe i dwukierunkowe
11. Szyfrowanie symetryczne – idea, przykładowe algorytmy
12. Szyfrowanie asymetryczne – idea, przykładowe algorytmy
13. Opisz problematykę bezpieczeństwa przeglądarek internetowych
14. Opisz problematykę bezpiecznej poczty elektronicznej
Informacja przesyłana za pośrednictwem poczty elektronicznej ma niejednokrotnie wielką wartość, szczególnie dla przedsiębiorstw.
Nie zaszyfrowana wiadomość może być jednak przechwycona w trakcie przesyłania i następnie odczytana lub zmieniona. Jeśli nie jest opatrzona podpisem cyfrowym, to nigdy nie można mieć pewności skąd przychodzi.
Istnieje szereg sposobów zabezpieczania poczty. S/MIME (Secure/Multipurpose Internet Mail Extension) jest standardem powszechnie akceptowanym, wbudowanym w programy obsługi poczty elektronicznej, instalowane w komputerach użytkowników (programach typu klient), pochodzące od wiodących dostawców (Microsoft Outlook, Lotus Notes). Mimo względnej popularności standard ten nie jest doskonały. Wielu producentów implementuje własną interpretację tego standardu, co stwarza problemy ze współdziałaniem.
Problem zabezpieczenia można rozwiązywać instalując bramę zabezpieczającą pocztę, pełniącą funkcję analogiczną do zapory ogniowej. Każda wiadomość nadchodząca lub wychodząca przechodzi przez bramę, która pozwala realizować politykę zabezpieczenia – gdzie i kiedy można wysłać wiadomość, sprawdzić, czy nie ma wirusów, oraz zaszyfrować i podpisać wiadomość. Wadą tego rozwiązania jest fakt, że proces zabezpieczania nie jest nadzorowany przez użytkownika poczty.
Metody oparte na programach obsługujących pocztę elektroniczną polegają na podpisywaniu komunikatów prywatnym kluczem wysyłającego, co jednoznacznie określa źródło wiadomości. Zapewniają one wysoki poziom zabezpieczenia, mają jednak również słabe strony:
· wymagają konfigurowania na każdym komputerze użytkownika, co oznacza przydzielenie certyfikatu klucza wszystkim użytkownikom dla szyfrowania i podpisu cyfrowego;
· wymagają zapewnienia odpowiedniego profilu zabezpieczeń skonfigurowanych na klientach poczty elektronicznej. Związane jest to z koniecznością przeszkolenia wszystkich użytkowników i zorganizowania służb zapewniających pomoc.
Odpowiedni poziom bezpieczeństwa uzyskuje się też utrzymując wszystkie komunikaty przez cały czas w ich własnym środowisku. Do utworzenia wiadomości wykorzystywany jest mechanizm zabezpieczający Internetu. Po wydaniu polecenia „Wyślij” wiadomość zostaje zaszyfrowana i zapamiętana. Następnie do odbiorcy zostaje wysłany komunikat informujący o tym, że zabezpieczona wiadomość czeka. W odpowiedzi odbiorca nawiązuje połączenie, uwierzytelnia się i uzyskuje dostęp do wiadomości przez warstwę SSL (Secure Sockets Layer).
15. Podpis cyfrowy – idea, mechanizmy informatyczne, zastosowanie
Podpis cyfrowy - matematyczny sposób potwierdzania autentyczności cyfrowego dokumentu. Istnieje wiele schematów podpisów cyfrowych, obecnie jednak najpopularniejszym jest schemat podpisu dokumentów cyfrowych w systemach kryptograficznych z kluczem publicznym i jednokierunkową funkcją skrótu - w systemie tym do oryginalnej wiadomości dołączany jest skrót dokumentu, zaszyfrowany prywatnym kluczem nadawcy. Potwierdzenie autentyczności wiadomości jest możliwe po odszyfrowaniu skrótu kluczem publicznym nadawcy i porównaniu go z wytworzonym skrótem odebranego dokumentu. Podpisy cyfrowe korzystają z kryptografii asymetrycznej – tworzona jest para kluczy, klucz prywatny i klucz publiczny – klucz prywatny służy do podpisywania i deszyfrowania wiadomości, klucz publiczny natomiast do weryfikacji podpisu i szyfrowania.
16. Scharakteryzuj istotę Infrastruktury Klucza Publicznego (PKI)
17. SSH – charakterystyka i zastosowanie
W ścisłym znaczeniu SSH to tylko następca protokołu Telnet, służącego do terminalowego łączenia się ze zdalnymi komputerami. SSH różni się od Telnetu tym, że transfer wszelkich danych jest zaszyfrowany oraz możliwe jest rozpoznawanie użytkownika na wiele różnych sposobów. W szerszym znaczeniu SSH to wspólna nazwa dla całej rodziny protokołów, nie tylko terminalowych, lecz także służących do przesyłania plików (SCP, SFTP), zdalnej kontroli zasobów, tunelowania i wielu innych zastosowań. Wspólną cechą wszystkich tych protokołów jest identyczna z SSH technika szyfrowania danych i rozpoznawania użytkownika.
Ogólne cechy SSH
Protokół SSH działa w warstwie sesji modelu ISO/OSI, a w warstwie aplikacji modelu TCP/IP.
Opiera sie na protokole transportu strumieniowego (TCP).
Dodatkowo zapewnia kompresje.
Zapewnia tunelowanie sesji terminala.
Zapewnia tunelowanie protokołu X11.
Zapewnia tunelowanie innych protokołów.
Zapewnia negocjacje algorytmów kryptograficznych.
Zastosowania SSH
Zdalna praca na terminalu tekstowym
także graficznym dzięki tunelowaniu X11.
Dostęp do serwerów pozbawionych monitora i klawiatury.
Tunelowanie dowolnych połączeń´ TCP:
zabezpieczenie niezabezpieczonych protokołów
(alternatywa dla TLS),
pokonanie firewalli, dostęp do maszyn w wewnętrznej sieci.
Bezpieczny transfer plików (przy pomocy dodatkowych
protokołów).
18. SSL/TLS – charakterystyka i zastosowanie
19. Scharakteryzuj oraz opisz zastosowanie funkcji skrótu
20. Scharakteryzuj rolę kontroli dostępu użytkowników w systemie informatycznym
21. Bezpieczeństwo haseł: problematyka, złożoność, siła
22. Opisz problematykę bezpieczeństwa zdalnego dostępu
23. Backup i archiwizacja - opisz problematykę tworzenia i wykorzystania w organizacji
24. Scharakteryzuj problematykę ochrony sieci korporacyjnej przed atakami zewnętrznymi
25. Scharakteryzuj problematykę ochrony sieci korporacyjnej przed atakami wewnętrznymi
hanter9