Narzędzia

    

 

 

Strona główna
Up

 

Dla poszczególnych tematów ćwiczeń, w laboratorium Bezpieczeństwa Systemów Komputerowych dostępne są poniżej opisane systemy i urządzenia:

 

Zajęcia z lab. BSK opracowali i prowadzą:

  • Adrian Kapczyński

  • Michał Proszczek

  • Maciej Rostański

  • Bartłomiej Zieliński

  • Adam Ziębiński

 

System BasicCard 

  

Najważniejszymi atrybutami kart elektronicznych firmy ZeitControl są:

  •  możliwość zastosowania skutecznych zabezpieczeń danych przechowywanych na nośniku kontrolowanych przez CPU (ang. Central Processing Unit),

  •  duża elastyczność w zastosowaniu dla różnorodnych zadań,

  •  wielostronność usług, polegająca na tym, że jedna karta może mieć jednocześnie kilka zastosowań dla jednej lub wielu aplikacji.

Bardzo ważną cechą tych kart jest elastyczność w wykorzystaniu, polegająca na samodzielnym zarządzaniu pamięcią EEPROM. W tym obszarze możliwe jest zapisywanie plików, które mogą być rozmieszczane w strukturze katalogów. Zarówno plikom, jak i katalogom mogą być przyporządkowane atrybuty określające uprawnienia dostępu. Przede wszystkim możliwe jest ustalanie uprawnień odczytu i zapisu do zbiorów dla poleceń wydawanych z terminala lub z karty. Możliwe jest też szyfrowanie danych przy użyciu samodzielnie zdefiniowanych kluczy symetrycznych, którymi posługiwanie się jak i zarządzanie jest bardzo uproszczone poprzez funkcje wbudowane w system operacyjny karty.

Praca z kartą polega na przesłaniu do niej przez terminal polecenia wykonania komendy. Wykonywane operacje winny być uprzednio zaimplementowane, skompilowane i zapisane na karcie. Kod składa się z definicji procedur możliwych do wywoływania z terminalu lub z karty oraz z bloku inicjalizującego, wywoływanego podczas rozpoczęcia pojedynczej sesji pracy z kartą. Możliwe jest deklarowanie zmiennych podstawowych typów, a także tworzenie własnych rodzajów obiektów (programowanie obiektowe).

Programy karty elektronicznej pisane są w języku stworzonym specjalnie dla tego narzędzia, nazywanym ZC-Basic. Bazuje on na zasadach implementacji innych języków typu Basic, posiadając jednocześnie pewne dodatkowe elementy specyficzne dla środowiska kart mikroprocesorowych. Procesy zapisywane są w procedurach, które mogą być wywoływane z terminala na podstawie znajomości ich adresu na karcie. Istnieje również możliwość ustalenia tzw. początkowego kodu (ang. Initialisation Code), który zostaje zrealizowany na wstępie sesji pracy karty.

Dodatkowo udostępniane są funkcje wbudowane (tzw. maska), umożliwiające operacje na tablicach zmiennych, ciągach znaków, wartościach liczbowych, a także podstawowe operacje szyfrujące (wykorzystujące algorytm DES). Funkcjonalność tę można rozszerzać poprzez dołączanie szeregu bibliotek dostarczonych przez producenta. Zawierają one przede wszystkim operacje związane z bezpieczeństwem i dotyczą implementacji algorymów szyfrowania danych jak: RSA, AES, EC-161 (Eliptic Curve Cryptography), SHA-1 (Secure Hash Algorithm revision 1), IDEA (International Data Encrioption Algorithm).

Oprogramowanie - wykorzystywane do badań i zajęć laboratoryjnych :

Układy uruchomieniowe - wykorzystywane do badań i zajęć laboratoryjnych :

  • Karty chipowe

Karta

EEPROM

RAM

Protokół

ZC3.1

2K

256 bytes

T=1

ZC3.3

8K

256 bytes

T=1

ZC3.9

8K

256 bytes

T=1
  • Czytniki kart CyberMouse®
    Microsoft® PC/SC compatible smart card reader/writer

 

  • Czytniki kart Balance reader

Balance Reader

Dokumentacja

 

Funkcje i algorytmy zastosowane w kartach

Algorytmy klucza publicznego

Nazwa Opis Klucz
RSA Rivest-Shamir-Adleman algorithm 1024 bits
EC-167 Elliptic Curve Cryptography over the field GF(2167 ) 167 bits
EC-161 Elliptic Curve Cryptography over the field GF(2168 ) 161 bits

Algorytmy symetryczne

Nazwa Opis Klucz
EAX Encryption with Authentication for Transfer (using AES) 128/192/
256 bits
OMAC One-Key CBC-MAC (using AES) 128/192/
256 bits
AES Advanced Encryption Standard 128/192/
256 bits
DES Data Encryption Standard 56/112 bits
SG-LFSR Shrinking Generator – Linear Feedback Shift Register 64 bits
IDEA International Data Encryption Algorithm 128 bits

Funkcje skrótu

Nazwa Opis
SHA-1 Secure Hash Algorithm, revision 1

Protokoły komunikacyjne

Nazwa Opis
T=0 Byte-level transmission protocol
T=1 Block-level transmission protocol

 

Biometria

Współczesne rozwiązania systemów informatycznych projektowane są przy uwzględnieniu kryterium spełnienia wymogów w zakresie bezpieczeństwa. W celu przeciwdziałania zagrożeniom stosowane są metody ochrony, wśród których kluczowe znaczenie oprócz metod kryptograficznych, mają metody uwierzytelniania.

Wśród metod uwierzytelniania stosowanych w praktycznych rozwiązaniach, coraz częściej można spotkać się z metodami opartymi o cechy ciała lub zachowania człowieka, określanymi jako metody biometryczne. Omawiane metody mogą być wykorzystane w realizacji procesu weryfikacji tożsamości użytkownika (stacji roboczej, aplikacji czy serwisu internetowego).

Praktyczna implementacja określonej metody wiąże się z pojęciem systemu biometrycznego realizowanego w architekturze jednostanowiskowej, jak i wielostanowiskowej. We współczesnym, zinformatyzowanym świecie, znajomość zasad administracji oraz konfiguracji tych systemów jest bardzo istotna.

W czasie ćwiczeń studenci będą mogli zapoznać się z zagadnieniami o charakterze teoretyczno-praktycznym, m.in.:

  • ·        Znaczenie kontroli dostępu w dziedzinie bezpieczeństwa teleinformatycznego.

  • ·        Uwierzytelnianie oparte o czynnik wiedzy, posiadania oraz charakterystyki.

  • ·        Podstawy teoretyczne systemów biometrycznych.

  • ·        Analiza korzyści i kosztów wynikających ze stosowania technologii biometrycznych.

  • ·        Praktyczne wskazówki dotyczące instalacji, konfiguracji oraz użytkowania systemów.

 Jak również z zagadnieniami o  charakterze stricte praktycznym, do których należą:

  • ·        Instalacja warstwy sprzętowej oraz warstwy programowej systemu biometrycznego.

  • ·        Konfiguracja systemu biometrycznego.

  • ·        Administracja systemem biometrycznym.

  • ·        Procedury rejestracji użytkowników.

  • ·        Użytkowanie systemu biometrycznego.

  • ·        Procedury awaryjne.

  • ·        Badania wydajności.

  • ·        Badania spójności z platformą systemu operacyjnego.

  • ·        Badania odporności na fałszywe wzorce biometryczne.

  • ·        Projekt i implementacja prototypowego systemu biometrycznego.

 Sprzęt dostępny w laboratorium umożliwiający przeprowadzenie procesów uwierzytelniania biometrycznego obejmuje:

  •  Optyczne czytniki linii papilarnych firmy Identix model Biotouch USB 200 DFR wraz z oprogramowaniem, umożliwiający identyfikację lub weryfikację użytkownika w oparciu o cechę anatomiczną dla środowiska scentralizowanego, jak i rozproszonego (klient/serwer),

  • Czytnik wzoru tęczówki oka, Panasonic BM ET 120 wraz z oprogramowaniem, umożliwiający identyfikację lub weryfikację użytkownika w oparciu o cechę anatomiczną dla architektury jednostanowiskowej,

  • Aktywny tablet graficzny, WACOM Graphire 3 A6 wraz z oprogramowaniem, umożliwiający odczyt pięciu składowych podpisu odręcznego: współrzędnej wertykalnej, horyzontalnej, kątów elewacji i azymutu, jak również siły nacisku, dla potrzeb realizacji prototypowego systemu uwierzytelniania opartego o cechy zachowania człowieka.

 Studenci w wyniku realizacji zajęć laboratoryjnych będą mogli nabyć zarówno wiedzę teoretyczną, jak i praktyczne umiejętności w zakresie instalacji, konfiguracji oraz administracji systemów silnego uwierzytelniania, opartymi o mierzalne cechy ludzkiego organizmu.

 

 

Ściany ogniowe

Firewalle programowe – ściany ogniowe (zapory ogniowe) służą do oddzielenia wybranego fragmentu systemu komputerowego (rozumianego jako połączone siecią komputerową jednego lub więcej komputerów) od pozostałej części sieci. Najczęściej stosowane są do oddzielenia pojedynczych komputerów od sieci lokalnej lub Internetu. Są one lokalizowane na granicy pomiędzy dwoma systemami i zajmują się filtrowaniem przechodzącego ruchu sieciowego. W zależności od konfiguracji mogą blokować dostęp do usług, zapobiegać atakom internetowym, ukrywać przed intruzami zewnętrznymi informacje o systemie chronionym firewallem. W zaporach programowych możemy wyróżnić firewalle systemowe – wbudowane w system operacyjny, oraz zewnętrzne aplikacje służące jako ściany ogniowe. Oprócz zapór programowych możemy wyróżnić jeszcze firewalle sprzętowe. Są to wyspecjalizowane urządzenia umieszczane na krawędzi sieci lokalnej i zajmujące się filtrowaniem ruchu. Mają one niejednokrotnie również funkcje bramy Internetowej a także routera, czy serwera DNS lub DHCP.

Celem ćwiczenia jest zapoznanie z podstawowymi metodami dostępu do sprzętowych zapór ogniowych, zastosowanie podstawowych metod monitoringu, odtworzenie typowych czynności podczas konfiguracji i testowania sprzętu.

W trakcie zajęć laboratoryjnych studenci mają dostęp do Firewall Watchguard Firebox® V60

WatchGuard Firebox V60

Infrastrukturę wystarczającą do ćwiczeń z użyciem firewalla Watchguard ukazuje niniejszy diagram:

 

Po ukończeniu ćwiczenia studenci powinni posiadać wystarczającą wiedzę do skonfigurowania, uruchomienia i przetestowania zapory ogniowej, zwłaszcza pod kątem ataku typu DoS.

W laboratorium dostępny też jest Router D-Link DI-804HV posiadający 4-portowy przełącznik 10/100 Mb/s, dodatkowym wyjściem COM (RS232) oraz obsługą do 40 kanałów VPN i zaporą SPI gwarantującą wysoki poziom bezpieczeństwa. W trakcie zajęć laboratoryjnych studenci dodatkowo mogą się zająć instalacją i konfiguracją routera.

 

Charakterystyka Router D-Link DI-804HV:

  • Zaawansowane zabezpieczenie VPN 168-bitowym kluczem 3DES IPSec

  • Rozszerzona konfiguracja zabezpieczeń 3DES z SHA-1

  • Maksymalnie 40 tuneli VPN do 40 odległych lokalizacji

  • DoS, SPI, filtrowanie pakietów, zapora

  • Port 10/100 Mb/s do podłączenia modemu telewizji kablowej/DSL

  • Port COM RS-232 do podłączenia rezerwowego modemu analogowego 56 Kb/s lub ISDN

  • 4 porty przełącznika 10/100 Mb/s

  • Wybieranie numeru na żądanie i automatyczne rozłączenie po upływie określonego czasu bezczynności (dotyczy połączenia analogowego i ISDN)

  • Agresywny/główny tryb klienta w sieci VPN

  • Proste konfigurowanie za pomocą przeglądarki internetowej

  • Możliwość klonowania adresu MAC

  • Rozgłaszanie NetBIOS

 

 

Sieci bezprzewodowe

Bezprzewodowe sieci komputerowe dość istotnie różnią się od typowych przewodowych sieci, takich jak np. Ethernet. Ze względu na to, że brak tu "fizycznego" nośnika informacji (jak np. przewód elektryczny czy światłowód) oraz na dookólną charakterystykę propagacji fal elektromagnetycznych (radiowych i optycznych), podłączanie urządzeń do sieci bezprzewodowej ma charakter "logiczny". Odbywa się to przez jawne wskazanie sieci, do której dane urządzenie ma zostać podłączone; na danym obszarze może być przy tym wiele sieci do wyboru. Oczywistym jest, że parametry obu komunikujących się stron muszą być odpowiednio uzgodnione; jest to tym bardziej istotne, im bardziej bezpieczna ma być tworzona sieć.

W trakcie przeprowadzonych zajęć studenci zaznajomią się konfiguracją punktu dostępu DWL-900AP. Dodatkowo poznają metody zabezpieczania połączeń bezprzewodowych

Punkt dostępowy komunikacji bezprzewodowej DWL-900AP ma pięć trybów pracy, szybkość przesyłania danych 22 Mb/s, 64-/128/-256-bitowe szyfrowanie WEP, funkcje WPA, wbudowany serwer DHCP.  Tryby pracy DWL-900AP:

  • Punkt dostępowy umożliwiający podłączenie użytkowników komunikacji bezprzewodowej do kablowej sieci LAN

  • Połączenie (mostkowanie) dwóch adresów Mac

  • Połączenie pewnej liczby sieci LAN ze sobą

  • Regeneracja w celu wzmocnienia sygnału przez zastosowanie większej liczby punktów dostępowych

  • Tryb klienta punktu dostępowego.

     

  D-Link DWL-900AP+ 22 Mbps (802.11b+) z bridgem

 

W laboratorium dostępny też urządzenie D-Link DI-614+ 22Mbps (802.11b) z routerem. W trakcie zajęć laboratoryjnych studenci dodatkowo mogą się zająć instalacją i konfiguracją routera.

D-Link DI-614+ 22Mbps (802.11b) z routerem

 

Brama DI-614+ zapewnia elastyczny dostęp do Internetu jednocześnie dla 253 użytkowników. Umożliwia to zarówno wbudowany punkt dostępowy 22 Mb/s, jak i serwer DHCP. Urządzenie dysponuje funkcjami zapory i szyfrowania danych kluczem 256-bitowym. dodatkowo jest wyposażone w 4 porty przełącznika 10/100 Mb/s, co umożliwia oprócz połączenia bezprzewodowego także bezpośrednie połączenie kablem RJ-45.

 

 

 

 

e-mail: aziebinski(at)wsb.edu.pl