ZVAŘIČ, F. Systém detekce útoků pro sítě s platformou Mikrotik [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2016.
Student ve své práci navrhl a realizoval systém pro detekci útoků v počítačové síti využívajcí Mikrotik router jako firewall a systém SNORT pro detekci útoků a úpravu pravidel ve firewallu. Studentovo řešení je funční, i když ne optimální. Zadání práce považuji za splněné. Po formální stránce je práce průměrná, vytknou se dá používání nevhodných termínů, překlepy a práce s citacemi.
Práce se zabývá návrhem a realizací systému pro detekci útoků v počítačové sítí, který bude spolupracovat se zařízením Mikrotik. Student splnil zadání. Po formální stránce bych vytknul špatnou práci s literaturou. Rovněž byly použity nedůvěryhodné zdroje. Práce také neobsahuje seznam použitých zkratek. Kromě toho vytýkám studentovi, že práce je psána v první osobě, dle obecně platných zásad se technické práce píší v třetí osobě nebo trpném rodě. Dále nejednotnost označení, v první části je hodně střídán pojem „průnikář“ a „útočník“. Práce je také nelogicky členěna do podkapitol, např. kapitola 1.3 je zbytečně rozdělena do podkapitoly 1.3.1. Navíc je často špatně skloňováno slovo „paket“, např. kapitola 3.3.1 „Fragmentace paket“. Pro detekci útoků je v práci využit detekční systém Snort, který je v teoretické části popsán dopodrobna i včetně instalace (kap. 4.5) na operační systém windows 7. V praktické části (kap. 5) je však instalován na systém Linux distribuce Ubuntu. Uvedený popis instalace je dopodrobna popsán a je zkrácenou a přeloženou verzí z návodu od výrobce, který není v práci citován. Proto bych jej spíše očekával v příloze a v hlavní práci by měly být uvedeny jen parametry konfigurace. Uvedené příkazy jsou občas neúplné. V kapitole 6.3 je uvedeno zhodnocení provedených testů, které byly provedeny v kapitole 6.2. Student uvádí, že rychlost útoku dosahovala 200 – 250 kB/s a vyšších rychlostí prý nedosahovala z důvodu virtualizace systémů, proto bych očekával i uvedení využití Cpu virtualizačního počítače, které by bylo směrodatné. U výsledků testů pro útoky DDOS student uvádí: „IPS Snort úspěšně detekoval náhodně generované IP adresy útočníka a všechno správně zapsal. Ale MikroTik nestíhal zpracovávat příchozí PHP skripty od Snortu při takovém množství jednotlivých IP adres. Konstantní přihlašování a odhlašování skriptu přes SSH protokol do MikroTiku bylo pomalé a příliš zatěžovalo procesor MikroTiku. Rychlost přidávání adres do blacklistu byla pomalejší, než rychlost generování nových adres programem DDOSIM.“ Jednou z pravděpodobných příčin je špatná implementace zmiňovaného PHP skriptu, který je spouštěn každou minutu a pro každou nalezenou útočící IP vytváří nové SSH spojení na Mikrotik a ve velkém množství pak způsobí přetížení. Proto skript měl být vyřešen „dávkově“ a na jedno ssh spojení by do Mikrotiku poslal více IP adres. Na základě uvedených poznatků hodnotím práci D/65b.
eVSKP id 93683