RAJJ, J. Filtrace distribuovaných útoků na odepření služeb pomocí síťových prvků Mikrotik [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2019.
Bakalářská práce se zabývá filtrací DDOS útoků ICMP flood a RST flood a vytvoření komunikačního spojení mezi nástrojem Suricata a přepínačem Mikrotik. Student aktivně pracoval po celou dobu semestru a konzultoval dosažené výsledky. Student zadání splnil, ale práce vykazuje odborné a formální nedostatky, které výrazně snižují kvalitu práce. Některé obrázky jsou nečitelné případně málo popsané. Vzhledem k aktivnímu přístupu studenta hodnotím práci známkou C/70 bodů.
Hlavním cílem bakalářské práce byl návrh a implementace filtrovacích pravidel pro útoky na odepření služeb a komunikačního protokolu mezi IDS a směrovačem Mikrotik. Cílené útoky byly záplavového typu a to ICMPflood a RSTflood. První tři kapitoly popisují teoretický rozbor, DoS útoků, detekce, ochran a směrovačů Mikrotik. V teoretické části jsou použity nesprávné odborné pojmy např. internetové útoky namísto kybernetické atd. Dále také nesouhlasím s definicí základních pojmů, konkrétně se jedná o oběť na obr. 1.1 a obr. 1.2. Při DoS útocích, je server v pozici cíle útoku, oběť útoku zde není vůbec naznačena. Zkratky nejsou vysvětleny při prvním použití např. ICMP, MAC, CPU atd. Titulky k obrázkům je vhodné ukončit tečkou a jejich popis by měl být výstižný, např. popis Obr. 1.9 je zcela nevhodný, je uvedena pouze zkratka DRDoS. Obrázky v práci mají nedostatečnou kvalitu. Nevhodný odborný popis se vyskytuje také dál v jednotlivých kapitolách, například v kapitole 2.1.4, „Tento protokol je navržen speciálně pro ověřování stanic a identifikuje je podle šifrovacího klíče, který je uložen v poli Host Identifier“ nebo „Tyto identifikátory jsou dále změněny pomocí hashovací funkce, ke které má klíč pouze skutečný vlastník identifikátoru, čímž je zajištěna autentizace účastníka“. Šifrovací klíč, který je uložen v poli nedává z pohledu bezpečnosti smysl stejně tak jak použití hešovací funkce. Zde je spíše hešovací funkce použita s tajným klíčem k vytvoření symetrického podpisu HMAC. V teoretickém rozboru a praktických experimentech možností komunikace se směrovačem Mikrotik chybí využití API. První scénář realizovaného útoky není nijak popsán, jaké pakety byly odesílány a proč? Proč byl testovací PING odeslán z oběti na útočníka? („Před testem a během testu byl z počítače oběti spuštěn příkaz ping (obrázek 4.4) na počítač útočníka.“) Pátá kapitola obsahující popis testování na experimentálním pracovišti je opět nevhodně sepsána. Zcela chybí vlastní návrh a implementace komunikačního protokolu a filtračních pravidel do IDS Suricata. Tyto informace jsou pouze zmíněny v textu „K detekci ICMP flood a RST flood byla vytvořena pravidla pomocí manuálových stránek k IDS [37]“. Popis vlastního přínosu a funkčnosti celého systému je nedostatečný (pokud z této kapitoly vyjmeme nastavení Avalanche a obrázek pracoviště zbyde cca 1/3 A4 textu). Z popisu není jasný, jak dochází ke komunikaci a následné filtraci. Zde měl být uveden vlastní návrh ve formě blokového diagramu a následný popis jednotlivých funkčních částí. Popis přiložených skriptů není v práci vůbec uveden, opět zde není jasný vlastní přínos. Také zde chybí diskuze legitimního provozu a dopad na něj (s filtrací a bez filtrace), proto není možné vůbec zjistit funkčnost řešení. Z výše popsaných nedostatků je předložená práce na hranici obhajitelnosti, navrhuji práci k obhajobě s hodnocením E/50 bodů.
eVSKP id 115332