KAKVIC, M. Metody zabezpečení IP PBX proti útokům a testování odolnosti [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2015.

Posudky

Posudek vedoucího

Šilhavý, Pavel

Student odevzdal velmi kvalitně zpracovaný SP, který zahrnoval generování útoků s využitím volně dostupných nástrojů. Zadání DP vyžadovalo generování útoků a testování s využitím testovacího systému Spirent TestCenter. Student při první konzultaci na začátku semestru sdělil, že nastupuje do zaměstnání, nebude mít na DP čas a dotazoval se zdali minimálně upravený SP by byl akceptovatelný. Byl důrazně upozorněn na požadavek testování se systémem Spirent. Týž den mu bylo připraveno pracoviště s testerem, vzdálený přístup a byl proškolen v obsluze testeru. Za celý semestr nerealizoval s testerem žádné měření a DP neobsahuje o testeru, který je uveden přímo v zadání, ani zmínku. Odevzdaná práce je minimálně rozšířenou verzí SP a zadání DP nenaplňuje. Vzhledem k tomu, že počet kreditů za DP byl zvýšen z 10 na 30 a práce by měly být úměrně k tomu kvalitní, vzhledem k záměrnému nerespektování zadání považuji tuto práci za zcela neakceptovatelnou a nedomnívám se, že by mohla být přepracována, neboť studen na práci s testerem ani nezačal, ač měl od začátku semestru pracoviště připraveno a testy mohl realizovat z pohodlí domova.

Navrhovaná známka
F
Body
20

Posudek oponenta

Šedý, Jakub

Student vypracoval práci na téma Metody zabezpečení IP PBX proti útokům a testování odolnosti. V prví polovině práce se student věnuje popisu softwarových ústředen, signalizačním protokolům, hrozbám a zabezpečení PBX. V popisu pobočkových ústředen jsou zmíněny pouze základní informace. Postrádám zde například popis architektury a přehled doposud dostupných verzí PBX. V kapitole "Hrozby PBX ústředen" zmiňuje student pět možných útoků na pobočkovou ústřednu a v následujícím textu popisuje pouze dva a to útok na zrušení relace a útok na dostupnost služby tzv. DoS, kde jako jeden z DoS útoků zvolil synflood, který považuji za naprosto nevhodný k útoku na PBX, která ve většině případů využívá protokol UDP nikoliv TCP, který synflood využívá. V následující kapitole "Zabezpečení PBX" student zmiňuje běžně dostupné zabezpečení pobočkových ústředen pomocí TLS, SRTP, iptables a dalších. Co v první části práce naprosto postrádám je jakákoliv zmínka o testeru Spirent TestCenter, který podle zadání má být využit k útokům na PBX. V této části práce se vyskytují věty, u kterých jsem marně hledal jejich význam "U klasickej PBX sú pre hlasové a dátové komunikácie nevyhnutné separované siete." nebo "SIP plne využíva protokoly TCP/IP pre webovské aplikácie alebo elektronickú poštu.". V praktické části práce student realizoval DoS útoky pomocí volně dostupných nástrojů, navrhnul řešení zabezpečení pomocí iptebles a programem Wireshark analyzoval zabezpečenou komunikaci pomocí TLS a SRTP. Žádné další útoky student nerealizoval!!! V této části práce není vůbec popsána metodika testování. Student analyzoval chování PBX před a po použití zabezpečení pomocí iptables. Interpretace výsledků daného měření je naprosto nepřehledná a nedostatečná. Výsledky mezi sebou není možné lehce porovnat, protože student použil při DoS útoku rozdílný počet zpráv za sekundu pro zabezpečenou a nezabezpečenou komunikaci pomocí iptables. V grafech postrádám znázornění vytížení procesoru firewallem. V některých měřeních student zmiňuje, že nebylo možné při útoku realizovat hovor a následně v celkovém zhodnocení výsledků tvrdí, že všechny ústředny umožnily vytvoření hovoru. V případě zabezpečení pomocí TLS a SRTP student analyzoval komunikaci mezi ústřednou a telefonem pomocí programu Wireshark, kde pouze stroze konstatoval, že není možné zjistit potřebné parametry pro zrealizování útoku Teardown a dále se věnoval pouze nastavení ústředny a telefonu k využití TSL a SRTP. V praktické části se dále vyskytuje množství nesrovnalostí například nastavení firewallu a další. Opět postrádám jakoukoliv zmínku o testeru Spirent TestCenter. Po formální stránce se v práci vyskytuje velké množství chyb a překlepů. Například na str. 22 končí kapitola uprostřed věty nebo překryté popisky os grafů. V práci se dále vyskytují až neúměrně velké mezery mezi kapitolami a podkapitolami. Dále student v seznamu literatury zmiňuje 22 zdrojů, přičemž v textu je jich skutečně citovaných jen 16. Dle mého názoru má seznam literatury náhodné řazení. Seznam zkratek není dostatečný. Postrádám vysvětlení zkratky v českém, případně slovenském, jazyce. Zadání práce nebylo z velké části splněno. V práci není vůbec zmíněno testování pomocí testeru Spirent TestCenter. Dále provedené testy byly vždy provedeny pouze pro jednu verzi PBX i přesto, že mělo být provedeno pro poslední a LTS verzi. Student realizoval v podstatě jen útok na dostupnost služby DoS. V práci postrádám útoky jako odposlech komunikace, zjištění přihlašovacích údajů útočníka nebo zrušení relace mezi účastníky hovoru. Navrhnuté řešení zabezpečení je jen částečně funkční. Z výše zmíněných důvodů navrhuji známku F/22.

Navrhovaná známka
F
Body
22

Otázky

eVSKP id 73877