Nazwa modułu: Secure Communications Systems (SCS) Rok akademicki: 2013/2014 Kod: IET-2-203-SU-s Punkty ECTS: 3 Wydział: Informatyki, Elektroniki i Telekomunikacji Kierunek: Elektronika i Telekomunikacja Specjalność: Sieci i usługi Poziom studiów: Studia II stopnia Forma i tryb studiów: Stacjonarne Język wykładowy: Polski Profil kształcenia: Ogólnoakademicki (A) Semestr: 2 Strona www: http://www.kt.agh.edu.pl/~pacyna Osoba odpowiedzialna: dr inż. Pacyna Piotr (pacyna@kt.agh.edu.pl) Osoby prowadzące: Kosek-Szott Katarzyna (kosek@kt.agh.edu.pl) dr inż. Szott Szymon (szott@kt.agh.edu.pl) Opis efektów kształcenia dla modułu zajęć Kod EKM Student, który zaliczył moduł zajęć wie/umie/potrafi Powiązania z EKK Sposób weryfikacji efektów kształcenia (forma zaliczeń) Wiedza M_W001 ma wiedzę na temat nowych trendów w systemach zabezpieczeń ET2A_W11 Kolokwium Umiejętności M_U001 Potrafi dobrać odpowiednią metodę ochrony sieci i użytkowników adekwatną do żądanego poziomu bezpieczeństwa, dostępnych zasobów i środków technicznych. ET2A_U12, ET2A_U13 Aktywność na zajęciach M_U002 Potrafi określić i scharakteryzować potrzeby w zakresie zapewniania bezpieczeństwa w sieciach ET2A_K02 Wykonanie ćwiczeń laboratoryjnych Kompetencje społeczne M_K001 Jest świadomy znaczenia rozwiązań wspierających bezpieczeństwo. Zna i rozumie współczesne rozwiązania wspierające bezpieczeństwo w sieciach LAN i WLAN. ET2A_K01, ET2A_K02, ET1A_K01 Kolokwium 1 / 5
Matryca efektów kształcenia w odniesieniu do form zajęć Kod EKM Student, który zaliczył moduł zajęć wie/umie/potrafi Forma zajęć Wykład audytoryjne laboratoryjne projektowe Konwersatori um seminaryjne praktyczne Inne terenowe E-learning Wiedza M_W001 Umiejętności M_U001 M_U002 ma wiedzę na temat nowych trendów w systemach zabezpieczeń Potrafi dobrać odpowiednią metodę ochrony sieci i użytkowników adekwatną do żądanego poziomu bezpieczeństwa, dostępnych zasobów i środków technicznych. Potrafi określić i scharakteryzować potrzeby w zakresie zapewniania bezpieczeństwa w sieciach + - - - - - - - - - - - - + - - - - - - - - - - + - - - - - - - - Kompetencje społeczne M_K001 Jest świadomy znaczenia rozwiązań wspierających bezpieczeństwo. Zna i rozumie współczesne rozwiązania wspierające bezpieczeństwo w sieciach LAN i WLAN. + - - - - - - - - - - Treść modułu zajęć (program wykładów i pozostałych zajęć) Wykład Security in communication systems Security concepts and terms (resource, risk, threat, vulnerability, incident) Security architectures. Methods and approaches to IT security. Selected security standards. Key derivation - methods and protocols Key derivation protocols (Diffie-Hellman) Key management and agreement (OAKLEY and ISAKMP). Network access authentication systems Dial-in access networks. Port-based network access (IEEE 802.1X Authentication Framework). Extensible Authentication Protocol (EAP). EAP over LAN (EAPoL). 2 / 5
Network access authentication methods Selected EAP methods: - Transport Layer Security (EAP-TLS). - Secure Sockets Layer (SSL). Authentication, Authorization and Accounting system Radius protocol. Diameter protocol. Internet Protocol Security (IPSec) and key exchange IPSec standard. Key exchange with IKE protocol and IKEv2 (Mobike). Security architecture for Wireless LAN Robust Security Network Architecture (IEEE 802.11i RSNA). IEEE 802.11 WiFi Protected Access (WPA, WPA2). laboratoryjne Data leak prevention We will use equipment from Fortinet to configure a DLP system for e-mail filtering. Protection against Denial of Service attacks We will experiment with methods to protect against DoS and DDoS attacks. Intrusion prevention Firewalls have become ineffective as attacks move to the application level. Anti-virus programs are also not enough as they offer only reactive measures. Organizations deploy a comprehensive network intrusion prevention system, whicih include: (a) vulnerability-based threats such as: worms and BotNets, trojan horses and the creation of backdoors vendor-specific exploitation vulnerabilitiesin applications such as web, mail, VoIP, DNS, SQL, spyware, phishing. (b) non-vulnerability-based threats that misuse application and server resources such as: server brute force attacks; misuse of server authentication/authorization schemes, web application vulnerability scanning. IPS resolves ambiguities in passive network monitoring by placing detection systems in-line. It is regarded by some to be an extension of intrusion detection system [IDS] technology. IPS technology is a form of access control, supplementary to an application-layer firewall. IPSs are a considerable improvement upon firewall technologies as they make access control decisions based on application content, rather than IP addresses or ports as is done by traditional firewalls. Virtual Private Network service This set of laboratory exercises will focus on Virtual Private Network service, when providing remote access for users (roaming users, mobile VPN), as well as in cases, where branch offices are connected (gateway to gateway). The scenarios present implementation of SSL VPN and IPSec VPN services. The exercises will use Fortinet FortiWiFi 40C device, which can provide VPN service for small business and remote branches. Internet Key Exchange This laboratory exercise will use the VPN exercise from another lab to learn more about the following: Key agreement with IKE, Security policy and security association management. We will use equipment from Fortinet (FortiWiFi) in this group of laboratory 3 / 5
experiments. Network-layer security We will deploy a network-layer firewall with equipment from Fortinet (Fortigate 40C). Web application security We will use equipment FortiWEB 400C in this laboratory exercise to configure a Web Application Firewall (WAF). A simple set of rules will be defined to inspect HTTP conversation. These rules will cover common attacks such as Cross-site Scripting (XSS) and SQL Injection. By customizing the rules, some other attacks can be identified and blocked, too. High availability web service In the lab we will use the following components to experiment with techniques to improve dependability of web service: real servers, server load balancing, Linux Virtual Server. Sposób obliczania oceny końcowej Student evaluation is based on three elements: participation in laboratory classes, participation in the mid-semester test, participation in the final test. Mid-semester test and the final test are evaluated in score points, which are then converted into percents. The final evaluation is a weighted average from the mid-semester test (in per-cents) and the final test score (in per-cents), with equal weights(1/2 and 1/2). The final grade is awarded in accordance with common university regulations. Wymagania wstępne i dodatkowe General knowledge of local area networks (LANs), wide area networks (WANs) and wireless networks (WLANs). General knowledge of computer security. Zalecana literatura i pomoce naukowe 1. T. Hardjono, L. R. Dondeti, Security in Wireless LANs and MANs 2. P. Chandra, Bulletprof Wireless Security: GSM, UMTS, 802.11 and Ad Hoc Security, 3. Equipment manuals from Fortigate. 4. standards from the ISO, NIST, IEEE, IETF 5. journals such as, for example IEEE Security&Privacy. 6. Internet resources. Publikacje naukowe osób prowadzących zajęcia związane z tematyką modułu Nie podano dodatkowych publikacji Informacje dodatkowe See web page http://www.kt.agh.edu.pl/~pacyna [Lectures > SCS (Secure Comm. Systems)] 4 / 5
Nakład pracy studenta (bilans punktów ECTS) Forma aktywności studenta Dodatkowe godziny kontaktowe z nauczycielem Przygotowanie do zajęć Samodzielne studiowanie tematyki zajęć Udział w ćwiczeniach laboratoryjnych Sumaryczne obciążenie pracą studenta Punkty ECTS za moduł Obciążenie studenta 15 godz 10 godz 20 godz 30 godz 75 godz 3 ECTS 5 / 5