Магистратура
2020/2021
Компьютерные сети и телекоммуникации
Лучший по критерию «Полезность курса для Вашей будущей карьеры»
Лучший по критерию «Полезность курса для расширения кругозора и разностороннего развития»
Статус:
Курс обязательный (Системное программирование)
Направление:
09.04.04. Программная инженерия
Где читается:
Факультет компьютерных наук
Когда читается:
1-й курс, 1, 2 модуль
Формат изучения:
без онлайн-курса
Преподаватели:
Гетьман Александр Игоревич
Прогр. обучения:
Системное программирование
Язык:
русский
Кредиты:
5
Контактные часы:
56
Программа дисциплины
Аннотация
Курс «Компьютерные сети и телекоммуникации» является продолжением базового курса по компьютерным сетям и сетевым технологиям и читается на 1 или 2 курсе магистратуры соответствующих ВУЗов. Основная цель — дать теоретическое представление о современных сетевых технологиях и основах сетевой информационной безопасности. Основу курса составляет лекционный материал и практикумы, на которых студентам демонстрируются принципы и особенности работы отдельных сетевых протоколов и сервисов. Помимо этого, студентам выдаются практические задания для получения и закрепления навыков в применении наиболее интересных сетевых технологий. В ходе курса студенты знакомятся с основными криптографическими примитивами и их применением в составе реальных протоколов, таких как SSL/TLS и IPsec VPN. Также даются базовые сведения об основах Web-безопасности, системах защиты периметра и беспроводных сетей, подходы к защите от DDoS-атак. Кроме того, рассматриваются наиболее актуальные сетевые технологии, такие как сети анонимизации, сети P2P и CDN, потоковые медиа-сервисы.
Цель освоения дисциплины
- получение теоретических знаний представление о современных сетевых технологиях и основах сетевой информационной безопасности
- получение практических навыков в области сетевой информационной безопасности
Планируемые результаты обучения
- Знать основные модели угроз в системе Web-сервер-Web-клиент и дефекты приводящие к инъекциям SQL и JavaScript, и узявимостям XSS
- Знать основные понятия ИБ и схемы и базовые примитивы шифрования
- Уметь проектировать реализации сервисов безопасности
- Уметь программировать сетевой обмен с использованием средств безопасности транспортного уровня TLS
- Уметь администрировать системы защиты периметра
- Знать основные подходы к формированию, топологии и подходы к защите беспроводных сетей
- Иметь навыки по настройке требуемого уровня анонимности и выявлению базовых средств деанонимизации
- Знать основные подходы к решению задачи надёжного и масштабируемого распространения данных в сети
- Знать основные особенности, требования и протоколы для передаче потоковых данных в сети
- Знать базовые модели угроз и оценки рисков, а также основные атаки на исчерпание ресурсов и подходы к защите от них
Содержание учебной дисциплины
- Базовые понятии информационной безопасности. Направления в обеспечении ИБ. Безопасность Web.Компьютерные сети: информационная безопасность, новые задачи и технологии. Базовые понятии безопасности информации (конфиденциальность, целостность, доступность). Направления информационной безопасности: безопасность ПО, сетевая безопасность, безопасность ОС, криптография. Безопасность Web. Модели угроз в системе Web-сервер-Web-клиент. Дефекты, приводящие к инъекциям. SQL-инъекции. Объектная модель DOM. Понятие HTTP-сессии. Инъекции JavaScript. Cross Site Scripting (XSS), варианты XSS. Место криптографии в обеспечении безопасности.
- Безопасная передача данных в недоверенной среде. Защита передаваемых данных.Понятия аутентификации и авторизации, их значение для обеспечения информационной безопасности. Доступ к сетевым ресурсам, модель угроз. Криптография, шифрование, принцип Керкгоффса. Общая модель шифрования/дешифрования. Методы шифрования: подстановка, перестановка. Модель одноразового блокнота, преимущества и недостатки. Схемы симметричного и асимметричного шифрования. Блочные шифры. Режимы шифрования (ECB, CBC, CFB, OFB, CTR), преимущества и недостатки. Алгоритм DES: параметры, схема, функция шифрования. Проблемы DES, переход к 3DES. Алгоритм AES: схемы шифрования/дешифрования, вспомогательные процедуры. Протокол Диффи-Хеллмана: понятие односторонней функции. Схема RSA. Код проверки подлинности сообщения (MAC), HMAC: MD5, SHA1. Механизм цифровой подписи. Использование хеш-функции. Схема DSA: генерация и проверка подписи. Эллиптические кривые на множестве действительных чисел. Понятие группы в алгебре. Группа для эллиптических кривых. Сложение точек кривой. Скалярное умножение и логарифм. Понятие поля в алгебре. Эллиптические кривые над полем Fp. Циклические подгруппы. Схема цифровой подписи ECDSA: генерация и проверка подписи.
- Применение криптографии для задач защиты информации при передаче.Сертификаты и цепочки доверия. Модели инфраструктуры сертификатов. Организация защищённого канала связи на разных уровнях сетевого стека. End-to-End шифрование. SSL/TLS – защищённый канал на сеансовом уровне. Атака “Rogue packet”. Понятие шифронабора. Протоколы, входящие в SSL/TLS. Транспортный протокол, его функции и возможности. Схема рукопожатия: разбиение на фазы, согласуемые параметры обмена. Вычисление сеансовых ключей шифрования. Передача данных приложения по защищённому каналу. Понятие сессии и соединения, их состояния. Процесс согласования и изменения состояния. Схемы сокращённого и повторного рукопожатия.
- Защита хранимых данных и вычислительных ресурсов.Понятие периметра. Параметры системы защиты периметра. Межсетевые экраны. Задачи межсетевого экрана. Особенности размещения межсетевого экрана. Особенности обработки данных. Зона DMZ. Стек TCP/IP: передача данных, формат пакетов, нумерация портов Фильтрация пакетов, преимущества и недостатки. Защита от подделки адресов. Ограничение доступа к серверам. Учёт состояния потока. Система NAT. IP-фрагментация, атаки на её основе. Проксирование отдельных приложений. Системы защиты от вторжений IDS/IPS. Подход на основе политик и аномалий. Система управления формой трафика и её функции. Ограничения систем защиты периметра.
- Особенности беспроводных и мобильных технологий. Их влияние на требования и подходы к безопасности.Локальные и глобальные сети. Беспроводные сети без и с предоставлением инфраструктуры. Классификация беспроводных сетей. Беспроводные локальные сети Wi-Fi, Bluetooth. Mesh-сети: достоинства и недостатки. Сравнение топологий беспроводных сетей. Особенности беспроводной связи с точки зрения безопасности, основные угрозы: устройства-чужаки, нефиксированная природа связи, уязвимости, атаки, утечки. Предотвращение вторжений (Wireless IPS): виды проверяемых событий. Шифрование данных в беспроводных сетях: WEP, WPA, WPA2. Проблемы WEP. Пример Wi-Fi в московском метро, утечка персональных данных при авторизации.
- Анонимность в сети.Понятие частных и виртуальных частных сетей (VPN). Логические сети и их свойства. Понятия туннелирования и инкапсуляции. Задачи, решаемые с помощью туннелирования. Примеры туннелей. IP-туннели. Раздельное туннелирование. Необходимые условия для создания VPN. Типы подключений VPN. Добровольное и обязательное туннелирование. Классификация VPN: по назначению и способу реализации. VPN и межсетевой экран – взаимное расположение, преимущества и недостатки. Протоколы, использующиеся для организации VPN. Протокол IPsec: решаемые задачи, модель угроз, архитектура, режимы подключения. Основные элементы IPsec: защищённое соединение, заголовок аутентификации, шифрограммы, протокол управления ключами. Коммерческие VPN-сервисы: схема использования, риски. Особенности работы VPN-клиента. Уязвимости VPN-сервисов: IPv6 и DNS-утечки. Потребность в анонимности. Социальная и техническая анонимность. Основные определения, количественная оценка анонимности. Виды анонимности: источника, получателя, взаимодействия, K-анонимность. Анонимность и приватность. Определения: псевдонимность, отсутствие прямых связей, ненаблюдаемость. Идентификаторы пользователя в сети: уровня устройства, ОС, сетевого клиента. Задача обеспечения технической анонимности. Прокси-серверы и их влияние на запросы пользователей, влияние на анонимность. VPN-сервисы и их влияние на анонимность. Анонимные сети. Mix-сети. Луковая маршрутизация. Сеть Tor. Схема передачи пакетов, виды узлов. Управляющие узлы и консенсус. Скрытые сервисы анонимной сети. Сеть I2P. Основные понятия, взаимодействие узлов. Атаки на анонимные сети. Способы защиты от атак. Деанонимизирующие признаки ОС. Пассивная и активная деанонимизация. Сокрытие признаков сетевого стека. Деанонимизирующие признаки веб-браузера. Построение цифрового отпечатка браузера. Защита от отслеживания на уровне веб-браузера. Характеристики пользователя сети и механизмы их утечек. Схемы анонимизации. Микс-сети. Луковая маршрутизация.
- Задача надёжного и масштабируемого распространения данных в сетиСеть Интернет как средство коммутации и как хранилище содержимого. Отличие задач коммутации и распространения содержимого. Подходы к доставке содержимого – CDN, P2P. Особенности Интернет-трафика: изменчивость, «асимметричность», разные требования к параметрам сети. Закон Ципфа. Развитие подходов к распространению содержимого. Особенности использования отдельного веб-сервера. Веб-кеширование: на стороне клиентов, на стороне серверов (балансировка нагрузки). Ограничения веб-кеширования. Сети доставки содержимого (CDN), два подхода к использованию, история развития, функции. Задачи, решаемые при создании и использовании CDN. Стратегии размещения узлов. Выбор содержимого для реплицирования. Выбор CDN-узла, и способы перенаправления клиентов: IP-anycast, HTTP, DNS. Частичное и полное перенаправление DNS. Пример CDN Akamai: статистика, алгоритм работы, обеспечение надёжности и доступности, оптимизация транспортного уровня. Влияние CDN на глобальную сеть. Определение и свойства одноранговых сетей (P2P). Сравнение с клиент-серверной архитектурой. Преимущества P2P. Оценка скорости распространения файла. Виды P2P сетей. Свойства централизованных P2P сетей. Пример Napster. Свойства децентрализованных P2P сетей. Пример Gnutella. Особенности гибридных P2P сетей. Классификация децентрализованных P2P сетей. Протокол BitTorrent. Задачи обеспечения общего доступа к содержимому в модели P2P. BitTorrent: поиск пиров, дублирование содержимого, поощрение загрузки содержимого (стратегия tit-for-tat), централизованные элементы и возможности отказа от них. Поиск данных в децентрализованной P2P-сети: централизованный и распределённые подходы. Алгоритмы построения распределённого индекса (DHT). Пример алгоритма Chord и его расширение. Пример выполнения запроса и перестроения индекса при отключении узла. Пример алгоритма CAN. Вопросы безопасности в контексте P2P.
- Потоковые данные и требования к качеству связи.Типы приложений, использующих потоковые данных. Сравнение схем взаимодействия. Свойства отдельных видов приложений. Проблемы при реализации потоковых сервисов. Использование TCP/UDP для передачи потоковых данных. Цифровой звук: физика, восприятие, передача, дискретизация. Теорема Котельникова. Методика кодирования. Сжатие звука – с потерями и без. Алгоритмы и форматы сжатия. Схема кодирования. Цифровое видео: терминология, виды кадров, особенности передачи, сжатие кадра. Алгоритмы сжатия видео. MPEG-сжатие: I-, P-, B-кадры. Потоковое вещание. Первое поколение, последовательная загрузка, буферизация, недостатки. Второе поколение – вещание в реальном времени: потоковый протокол RTSP, метафайл, RTSP-сессия, недостатки. Третье поколение: HTTP-стриминг, адаптивный битрейт. Вещание в реальном времени: теория и практика. IP-телефония: VoIP с фиксированной и адаптивной задержкой. Протоколы RTP и SIP. Поиск пользователя. Подходы к коррекции ошибок при потере пакетов: FEC и интерливинг.
- Доступность ресурсов как цель для атаки. Атаки на исчерпание возможностей канала.Модель угроз STRIDE. Оценка рисков по модели DREAD. DoS и DDoS-атаки. Атакуемые ресурсы системы. Атака на канальном уровне. Атака с усилением: определение, схема. Пример атаки с DNS-усилением: схема, динамика, возможность осуществления. Пример Smurf-атаки с усилением ICMP. Memcached-атака. DDoS-атаки уровня TCP/IP. Атаки Route Hijacking, DNS cache poisoning, TCP-SYN-Flood. Механизмы защиты: TCP-SYN-cookies, протокол SCTP. DDoS-атаки уровня приложений. Атака WordPress Pingback. Ботнеты и их использование для DDoS-атак. Ботнеты из IoT-устройств: Mirai. Система Google Project Shield. Защита от DDoS на основе CDN. Протокол QUIC: встроенная защита от усиления. Подходы к смягчению эффекта DDoS.
Промежуточная аттестация
- Промежуточная аттестация (2 модуль)0.12 * Домашнее задание (ДЗ1) + 0.12 * Домашнее задание (ДЗ2) + 0.16 * Домашнее задание (ДЗ3) + 0.6 * Экзамен (Э)
Список литературы
Рекомендуемая основная литература
- Stuttard, D., & Pinto, M. (2011). The Web Application Hacker’s Handbook : Finding and Exploiting Security Flaws (Vol. 2nd ed). Indianapolis: Wiley. Retrieved from http://search.ebscohost.com/login.aspx?direct=true&site=eds-live&db=edsebk&AN=391534
Рекомендуемая дополнительная литература
- Martin Roesch, & Stanford Telecommunications. (1999). Snort - Lightweight Intrusion Detection for Networks. Retrieved from http://search.ebscohost.com/login.aspx?direct=true&site=eds-live&db=edsbas&AN=edsbas.E2D9A214