NSB cvika
=
<!----------------------------------------------------------------------------->
# NSB test 1
- X
<!----------------------------------------------------------------------------->
# NSB test 2
<!----------------------------------------------------------------------------->
## Prednáška 1
### DHCP
#### Spoofing
- Útok, který může klientskému počítači:
- Ukradení IP adresy, určené jinému zařízení
- Získání přístupových práv určené pro dané zařízení
- Vložení vlastního DNS serveru
- Přesměrování výchozí brány
- Falešný server DHCP
- Obrana Router Advertisement Guard je obdobou DHCP Snooping
#### Snooping
- Ochrana proti spoofingu
#### Overflow
- Vyčerpání všech možných adres, které je možné v dané podsíti využít
### ARP
- IP adresa (L3) <-> MAC adresa (L4)
- Využívají switche
#### Spoofing
- Podvrhávání Solicitious ARP Response zpráv
- Dynamic ARP Inspection sleduje vazbu mezi MAC, IP a portem
- Dva výsledky útoku
- DoS na danou IP adresu
- MitM přes útočníkovu síťovou kartu
- Obranou proti ARP spoofing je Dynamic ARP Inspection
### CAM
#### Overflow
- Zaplnění CAM tabulky routeru
- Útočník se tváří jako různé počítače, má různé MAC adresy
- Router neví kam posílat další packety, musí posílat všem
- Obranou proti CAM Overflow je Port Security
- Povolené pouze předkonfigurované adresy MAC
- Omezen počet adres MAC na port
- Chrání před MAC adres flooding
- Útočník ví o veškeré komunikaci, která přes router probíhá
<!----------------------------------------------------------------------------->
## Prednáška 2 / Cvika 1
### RADIUS - Remote Authentication Dial In User Service
- Radius podporuje autentizaci, autorizaci i účtování
- Nástupcem Radiusu by měl být Diametr
- Autentizace CHAP nepřenáší heslo po síti
- Uživatel se nepřipojuje na Radius server
- Uživatel se připojuje na Radius klienta
- Protokol je rozšiřitelný o další atributy
- Autentizace PAP přenáší heslo po síti
### OPIE - One time Passwords In Everything
### Kerberos
- Kerberos komunikace medzi KDC a serverem probíha prěs klienta
- Kerberos je závislý na časové synchronizaci klientů a serverů
- Kerberos nevyžaduje zabezpečenou komunikační síť
- Kerberos používá symetrickou kryptografii
- Kerberos pro šifrování používá sdílené klíče (ne veřejný a privátní klíč)
- Architektura
- AS - Autentizační server
- SS - Servisní středisko
- TGS - Ticket-granting server – řídicí server
- TGT - Ticket granting ticket – tiket opravňující uživatele ke komunikaci s řídícím serverem
- KDC - důvěryhodná strana, která zajišťuje autentizaci a přidělování lístků pro přístup ke službám
- TGS - součást třetí důvěryhodné strany, která zajišťuje přidělování lístků pro přístup ke službám
### EAP
- EAP-TLS
- pro ověření klientský i serverový certifikát
- EAP-FAST
- It is used in wireless networks and point-to-point connections to perform session authentication. Its purpose is to replace the LEAP (lightweight extensible authentication protocol).
- PEAP
- Ověření v jednom směru serverový certifikát a ve druhém jinou EAP metodu
<!----------------------------------------------------------------------------->
## Prednáška 3
### IDS - Intrusion Detection System
- Neodeslaný alarm při normální síťové aktivitě se oznažuje pravý negativní
- Složené signatury vyžadují uchovávání stavových informací
- Neodeslaný alarm při útoku se neoznačuje jako falešný pozitivní
- Atomické signatury nevyžadují kontrolu více pakutů najednou
### IPS - Intrusion Prevention Systems
- ...
<!----------------------------------------------------------------------------->
## Test - skupina A
1) Jsou následující tvzení o AAA jsou pravdivá? (3)
- Who knows.
2) Jak se nazývá systém, který jste v 1. laboratoři konfigurovali na jednorázová hesla? (Zkratkou)
- OPIE -> budeme mať RADIUS, Kerberos?
3) Co platí o útocích v lokálních sítích? (3)
- Obranou proti CAM Overflow je Port Security
- Dynamic ARP Inspection sleduje vazbu mezi MAC, IP a portem
- Obrana Router Advertisement Guard je obdobou DHCP Snooping
5) Co platí o Intrusion Detection System (IDS)? (2)
- Jedná sa o pasívny obranný mechanizmus. Sú to systémy schopné detegovať útoky v sieti.
6) Jaké jsou vlastnosti Host-based IDS?
- Detekcie sa týkajú iba jednotlivých počítačov/staníc.
- Vyžadujú software na kazdom počítači.
- Jedná sa buď o špecializovaný sw, alebo je to súčasť operačného systému.
- Agent IDS posiela výstrahy centralnej stanici.
7) Jak se nazývá útok, který šifruje uživatelské soubory a pro jejich dešifrování vyžaduje zaplacení poplatku?
- Ransomware
<!----------------------------------------------------------------------------->
## Test - skupina B (hypoteticky)
1) Co platí o Intrusion Protection System (IDS)? (2)
- Jedná sa o aktívne sieťové prvky schopné detegovať a zastaviť útok proti sieťovým zdrojom.
5) Jaké jsou vlastnosti Network-based IDS?
- Používá síťový provoz pro detekci útoků, šíření malware.
- Jedná se o specializované zařízení.
- Vstupné dáta získava napríklad zo senzorov.
8) Jak se v Kerberosu označuje součást třetí důvěryhodné strany, která zajišťuje přidělování lístků pro přístup ke službám? (Anglická zkratka)
- TGS
10) Jak se nazývá útok, který může klientskému počítači podvrhnout IP adresu výchozí brány?
- DHCP spoofing
<!----------------------------------------------------------------------------->
# NSB test 3
<!----------------------------------------------------------------------------->
## Zadání 19/20
1) Pro Biba u Mandatory Access Control (MAC) platí:
- **Subjekt na vyšší úrovni může zapisovat do objektu, ale ne číst**
- Subjekt na nižší úrovni může zapisovat do objektu, ale ne číst
- Objekt na vyšší úrovni může zapisovat do subjektu, ale ne číst
- Objekt na nižší úrovni může zapisovat do subjektu, ale ne číst
2) Co platí o POSIX ACLS?
- **ACL maska se nevztahuje na unixového vlastníka a na ostatní**
- ACL maska se vztahuje jen na ACL skupiny, ne na ACL vlastníky
- ACL maska určuje minimální práva pro ACL skupiny
- ACL nahrazují standardní unixová práva
3) Co platí o auditu Basic Security Module (BSM)? (3)
- **Superuživatel může logování zastavit i obnovit**
- **Pro audit vytvářených souborů lze použít třídu fc**
- **Soubor audit_user obsahuje, co se má u koho zaznamenávat**
- Pro audit vytvářených souborů lze použít událost cf
- Prefix*- znamená, že se nemají zaznamenávat úspěšné záznamy
4) Co znamená zápis -lo,ex u BSM Auditu? (2)
- **Jedná se o výběrový výraz**
- **Zaznamenávají se neúspěšné pokusy o přihlášení a úspěšné a neúspěšné spuštění příkazů**
- Jedná se o označení jednotlivých sledovaných událostí
- Zaznamenávají se jen úspěšné pokusy o přihlášení a úspěšné a neúspěšné spuštění příkazů
- Zaznamenávají se jen neúspěšné pokusy o přihlášení a jen úspěšné spuštění příkazů
5) Co platí pro jednorázová hesla OTP a S/Key? (2)
- **Na serveru se nemusí nic utajovat včetně hesel**
- **Přihlašování je odolné vůči odposlouchávání**
- Přihlašování je odolné vůči man-in-the-middle
- U OTP je hashovací funkce pevně stanovena
6) Která klíčová slova patří mezi řídicí příznaky v systému PAM? (3)
- **required**
- **sufficient**
- **binding**
- needed
- obligatory
- used
<!----------------------------------------------------------------------------->
## Zadání 18/19
1) Co platí o auditu Basic Security Module (BSM)?
* **Události se ukládají uživatelským procesem auditd**
* **Příkaz audit umožňuje uzavřít aktuální auditovací soubor a otevřít nový**
* **Pro výběr podmnožiny záznamů z auditu se používá auditreduce**
* Události se ukládají uživatelským procesem praudit
* Události se ukládají jádrem operačního systému
2) Do jakých skupin se zařazují související události v auditu BSM? (Česky, mn. č.)
* Třídy
3) Co platí pro jednorázová hesla OTP a S/Key?
* **U S/Key je hashovací funkce pevně stanovena**
* **Na serveru se nemusí nic utajovat včetně hesel**
* Přihlašování není odolné vůči odposlouchávání
* Přihlašování je odolné vůči man-in-the-middle
4) Co platí o POSIX ACLs?
* **Jednou z ACL položek je vždy i ACL maska**
* ACL maska je nepovinná položka
* ACL kromě práv rwx přidávají i další oprávnění, například zápis jen na konec (append)
* ACL nahrazují standardní unixová práva
5) Pro Biba u Mandatory Access Control (MAC) platí:
* **Pokud subjekt nemá žádnou úroveň, nemůže číst ani zapisovat**
* Pokud objekt nemá žádnou úroveň, může číst i zapisovat
* Pokud subjekt má shodnou úroveň, nemůže číst ani zapisovat
* Pokud objekt má shodnou úroveň, nemůže číst ani zapisovat
6) Co umožňuje Generic Routing Encapsulation (GRE)?
* **Tunelování protokolů síťové vrstvy přes síťovou vrstvu**
* Zabezpečení spojení proti odposlouchávání
* Emulaci přepínání okruhů na paketově přepínaných sítích
* Vytvoření vícebodové virtuální privátní sítě
<!----------------------------------------------------------------------------->
## Zadání 17/18
1) Co platí o Multiprotocol Label Switching (MPLS) VPN?
* **Využívá možnosti zřetězit v MPLS více návěští (labels) za sebou**
* MPLS VPN se používá jako přístupová VPN pro koncové uživatele
* Přenášená data jsou zašifrována protokolem DES, 3DES nebo AES
* MPLS VPN vkládá návěští (labels) mezi síťovou a transportní vrstvu
2) Co platí o IPsec? (2)
* Authentication Header (AH) zajišťuje důvěrnost dat
* Transportní režim přidává novou IP hlavičku
* **Authentication Header (AH) zajišťuje integritu dat**
* **Tunelový režim přidává novou IP hlavičku**
3) Co platí pro Kerberos?
* **Kerberos pro šifrování používá sdílené klíče**
* Kerberos pro šifrování používá veřejný a privátní klíč
* Kerberos vyžaduje zabezpečenou komunikační síť
* Kerberos doména se anglicky označuje slovem principal
4) Co platí o jednotlivých VPN? (3)
* **Temné vlákno (dark fiber) je VPN na vrstvě L1**
* **GRE je VPN na vrstvě L3**
* Temné vlákno (dark fiber) je VPN na vrstvě L0
* MPLS je VPN na vrstvě L3
* **MPLS je VPN na vrstvě L2**
* GRE je VPN na vrstvě L2
5) Jak se v Kerberosu označuje třetí důvěryhodná strana, která zajišťuje autentizaci a přidělování lístků pro přístup ke službám? (Anglická zkratka)
* KDC
<!----------------------------------------------------------------------------->
# NSB test 4
<!----------------------------------------------------------------------------->
## Zadání 19/20 A
1) Co platí o Intrusion Detection System (IDS)? (2)
- Atomické signatury vyžadují kontrolu více paketů najednou
- **Neodeslaný alarm při normální síťové aktivitě se označuje jako pravý negativní**
- **Složené signatury vyžadují uchovávání stavových informací**
- Neodeslaný alarm při útoku se označuje jako falešný pozitivní zodpovězeno
2) Co platí o firewallech? (2)
- Při zablokovaných příchozích paketech pro fungování pingu povolit zpětnou cestu jen pro cílovou adresu nestačí
- **Firewally mohou kromě prostého zahazování paketů odpovídat i pakety typu ICMP nebo s příznakem RST**
- **Při zablokovaných příchozích paketech pro fungování tracercute povolit zpětnou cestu jen pro cílovou adresu nestačí**
- Stavové filtry jsou vždy výhodnější než paketové
3) Co platí o statickém překladu adres MAT/PAT)?
- Jedná se o záznamy v převodní tabulce, které vznikají na základě odchozího datového provozu
- **Umožňuje navazovat spojení z vnější sítě do vnitřní, které by jinak nešlo uskutečnit**
- Často se používá pro sdílení zátěže mezi servery
- Umožňuje skrýt funkci překladu adres před uživatelem
4) Jak se anglickým termínem nazývá politika řízení provozu, při které se při překročení stanovené rychlosti data ukládají do fronty?
- **Shaping**
5) Co platí pro demilitarizované zóny (DMZ)? (2)
- Z vnější sítě je možné přistupovat jen do vnitřní sítě, do DMZ ne
- **Z vnitřní sítě je možné přistupovat do DMZ a do vnější sítě**
- Z vnitřní sítě je možné přistupovat jen do vnější sítě, do DMZ ne
- Z vnější sítě není možné přistupovat ani do vnitřní sítě, ani do DMZ
- **Z vnější sítě je možné přistupovat jen do DMZ, do vnitřní sítě ne**
6) Co u TCP wrappers znamená UNKNOWN?
- **Neznámý doménový název zdrojové IP adresy**
- Neznámá zdrojová IP adresa
- Neznámá cílová IP adresa
- Neznámý zdrojový port
7) Které dvě podmínky aplikované přes logický AND umožňují rozpoznání první fáze navazováni TCP spojení? (2)
- Je RST
- Je ACK
- Není RST
- Není SYN
- **Je SYN**
- **Není ACK**
8) K čemu slouží reputačni systémy?
- K detekci uživatelů, kteří využívají danou službu
- **K zjištěni duvěry pro využití dané služby**
- K zvýšeni výkonnosti IPS systému
- K blokování neaktualizovaných operačních systémů
<!----------------------------------------------------------------------------->
## Zadání 19/20 B
1) Které dvě podmínky aplikované přes logický OR se používají pro rozpoznání navázaného TCP spojení (vše kromě první fáze)? (2)
- **Je ACK**
- **Je RST**
- Je SYN
- Není SYN
- Není ACK
- Není RST
2) Co platí o statickém překladu adres (NAT/PAT)?
- **Jedná se o pevně definované záznamy v převodní tabulce**
- Umožňuje navazovat spojení z vnitřní sítě do vnější, které by jinak nešlo uskutečnit
- Často se používá pro sdílení zátěže mezi servery
- Umožňuje skrýt funkci překladu adres před uživatelem
3) Co u TCP wrappers znamená KNOWN?
- **Známý doménový název zdrojové IP adresy**
- Známá zdrojová IP adresa
- Známá cílová IP adresa
- Známý cílový port
4) Co platí o firewallech? (2)
- **Při zablokovaných příchozích paketech stačí pro ping povolit zpětnou cestu jen pro cílovou adresu**
- **Firewally mohou kromě prostého zahazování paketů odpovídat i pakety typu ICMP nebo s příznakem RST**
- Stavové filtry jsou vždy výhodnější, než paketové
- Při zablokovaných příchozích paketech stačí pro traceroute povolit zpětnou cestu jen pro cílovou adresu
5) Co platí o politikách řízení provozu? (2)
- **U Class Based Queuing (CBQ) je možné preferovat různé datové toky před jinými v zadaném poměru**
- **Random Early Detection (RED) se používá k předcházení zahlcení pásma síťového připojení**
- U Class Based Queuing (CBQ) jsou fronty s vyšší prioritou vždy obslouženy dříve, než fronty s nižší prioritou
- U Class Based Queuing (CBQ) jsou fronty s nižší prioritou vždy obslouženy dříve, než fronty s vyšší prioritou
6) Co platí o Intrusion Detection System (IDS)? (2)
- **Odeslaný alarm při normální síťové aktivitě se označuje jako falešný pozitivní**
- **Atomické signatury slouží pro detekci útoků v jednotlivých paketech**
- Neodeslaný alarm při útoku se označuje jako pravý negativní
- Složené signatury nevyžadují uchovávání stavových informací
7) Jaké jsou vlastnosti Host-based IDS?
- **Vyžaduje agenta běžícího na koncovém systému**
- Zasílá výstrahy ostatním Host-based IDS agentům
- Kontroluje síťový provoz mezi snrťérovači
- Snižuje u koncového systému nároky na výpočetní prostředky
8) Jak se anglickým termínem nazývá politika řízení provozu, při které se při překročení stanovené rychlosti data hned zahazují?
- **Policing**
<!----------------------------------------------------------------------------->
## Zadání 18/19
1) Co u TCP wrappers znamená KNOWN?
- **Známý doménový název zdrojové IP adresy**
- Známá zdrojová IP adresa
- Známá cílová IP adresa
- Známý cílový port
2) Jaké jsou vlastnosti Host-based IDS?
- **Vyžaduje agenta běžícího na koncovém systému**
- Zasílá výstrahy ostatním Host-based IDS agentům
- Kontroluje síťový provoz mezi směrovači
- Snižuje u koncového systému nároky na výpočetní prostředky
3) Co platí o Encapsulation Security Payload (ESP)?
- **Zapouzdřuje a chrání data IP datagramu**
- **Nezajišťuje ochranu vnější IP hlavičky**
- Pro šifrování se používá algoritmus RSA nebo DSA
- ESP nelze používat v tunelovém režimu
4) Co platí pro demilitarizované zóny (DMZ)?
- **Z vnitřní sítě je možné přistupovat do DMZ a do vnější sítě**
- **Z vnější sítě je možné přistupovat jen do DMZ, do vnitřní sítě ne**
- Z vnitřní sítě je možné přistupovat jen do vnější sítě, do DMZ ne
- Z vnější sítě je možné přistupovat jen do vnitřní sítě, do DMZ ne
- Z vnější sítě není možné přistupovat ani do vnitřní sítě, ani do DMZ
5) Co platí o Intrusion Detection System (IDS)?
- **Odeslaný alarm při normální síťové aktivitě se označuje jako falešný pozitivní**
- **Atomické signatury slouží pro detekci útoků v jednotlivých paketech**
- Neodeslaný alarm při útoku se označuje jako pravý negativní
- **Složené signatury vyžadují kontrolu více paketů najednou - původně špatná odpověď, po diskuzi uznal i tuto**
6) Co platí o IPsec?
- **Authentication Header (AH) zajišťuje integritu dat**
- **Transportní režim zachovává původní IP hlavičku**
- Authentication Header (AH) zajišťuje důvěrnost dat
- Tunelový režim zachovává původní IP hlavičku
<!----------------------------------------------------------------------------->
# NSB test 5
<!----------------------------------------------------------------------------->
## Zadání 18/19
1) Co platí o firewallech?
- **Při zablokovaných příchozích paketech pro fungování traceroute povolit zpětnou cestu jen pro cílovou adresu nestačí**
- **Firewally mohou kromě prostého zahazování paketů odpovídat i pakety typu ICMP nebo s příznakem RST**
- Stavové filtry jsou vždy výhodnější než paketové
- Při zablokovaných příchozích paketech pro fungování pingu povolit zpětnou cestu jen pro cílovou adresu nestačí
2) Kterou jednotkou se označuje výška zařízení v datových rozvaděčích?
- **U, Rack Unit**
3) Jak se anglickým termínem nazývá politika řízení provozu, při které se při překročení stanovené rychlosti data ukládají do fronty?
- **Shaping** (uznal i **Queuing** nakonec)
4) Které dvě podmínky aplikované přes logický AND umožňují rozpoznání první fáze navazování TCP spojení?
- **Je SYN**
- **Není ACK**
- Není SYN
- Je ACK
- Je RST
- Není RST
5) Co platí o statickém překladu adres (NAT/PAT)?
- **Umožňuje navazovat spojení z vnější sítě do vnitřní, které by jinak nešlo uskutečnit**
- Jedná se o záznamy v převodní tabulce, které vznikají na základě odchozího datového provozu
- Často se používá pro sdílení zátěže mezi servery
- Umožňuje skrýt funkci překladu adres před uživatelem
6) Co platí o politikách řízení provozu?
- **U Class Based Queuing (CBQ) je možné preferovat různé datové toky před jinými v zadaném poměru**
- **Random Early Detection (RED) se používá k předcházení zahlcení pásma síťového připojení**
- U Class Based Queuing (CBQ) jsou fronty s vyšší prioritou vždy obslouženy dříve, než fronty s nižší prioritou
- U Class Based Queuing (CBQ) jsou fronty s nižší prioritou vždy obslouženy dříve, než fronty s vyšší prioritou
<!----------------------------------------------------------------------------->
## Zadání 17/18
1) Co platí o statickém překladu adres (NAT/PAT)?
- **Jedná se o pevně definované záznamy v tabulce**
- Umožňuje navazovat spojení z vnitřní sítě do vnější, které by jinak nešlo uskutečnit
- Často se používá pro sdílení zátěže mezi servery
- Umožňuje skrýt funkci překladu adres před uživatelem
2) Co platí pro demilitarizované zóny (DMZ)? (2)
- **Z vnitřní sítě je možné přistupovat do DMZ a do vnější sítě**
- **Z vnější sítě je možné přistupovat jen do DMZ, do vnitřní sítě ne**
- Z vnější sítě je možné přistupovat jen do vnitřní sítě, do DMZ ne
- Z vnitřní sítě je možné přistupovat jen do vnější sítě, do DMZ ne
- Z vnější sítě není možné přistupovat ani do DMZ, ani do vnitřní sítě
3) Jakou zkratkou se označují zařízení, která umožňují pomocí jedné klávesnice, myší a monitoru ovládat celou skupinu serverů?
- **KVM**
4) Co platí o politikách řízení provozu? (2)
- **U Class Based Queuing (CBQ) je možné preferovat různé datové taky před jinými v zadaném poměru**
- **Random Early Detection (RED) se používá pro předcházení zahlcení pásma síťového připojení**
- U Class Based Queuing (CBQ) jsou fronty s vyšší prioritou vždy obslouženy dříve, než fronty s nižší prioritou
- U Class Based Queuing (CBQ) jsou fronty s nižší prioritou vždy obslouženy dříve, než fronty s vyšší prioritou
5) Co u TCP wrappers znamená UNKNOWN?
- **Neznámý doménový název zdrojové IP adresy**
- Neznámá zdrojová IP adresa
- Neznámá cílová IP adresa
- Neznámý zdrojový port
6) Jak se anglickým termíne nazývá politika řízení provozu, při které se při překročení stanovené rychlosti data ihned zahazují?
- **Policing**
Google Drive
Gist
Clipboard
Sign in with Wallet
