Automatický nástroj pro kontrolu úrovně zabezpečení webového serveru

Thumbnail Image

Files

final-thesis.pdf (1.25 MB)
 appendix-2.pdf (33.32 KB)
 appendix-1.zip (41.95 KB)
 review_133542.html (4.84 KB)

Date

Authors

Kopecký, Samuel

Advisor

Referee

Mark

A

Journal Title

Journal ISSN

Volume Title

Publisher

Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií

ORCID

Abstract

V dnešnej dobe je bežnou praxou mať bezpečne hostovaný webový server. Pre zabezpečenie webového servera je potrebné zabezpečiť, aby bola triáda CIA (Dôvernosť, Integrita, Dostupnosť) na mieste. Triáda CIA je splnená použitím rôznych mechanizmov, ako je symetrická kryptografia a infraštruktúra verejných kľúčov. Protokol TLS (Transport layer security) umožňuje zaistenie triády CIA a jeho funkcia je popísaná v prvej časti tejto práce spolu so základmi kryptografie. V druhej časti je predstavený nástroj napísaný v~programovacom jazyku Python, ktorý umožňuje automatizáciu analýzy bezpečnosti algoritmov a parametrov, ktoré TLS používa. Tento nástroj je tiež schopný analyzovať podporované verzie protokolu TLS webovým serverom. Ďalšou funkciou nástroja je skenovanie špecifickej implementácie webového servera. Umožňuje tiež analýzu niekoľkých vybraných zraniteľností, ktoré sú tiež opísané v druhej časti. Na konci práce je popísané testovacie prostredie, ktoré bolo vytvorené na otestovanie nástroja.
Nowadays it is common practice to have a securely hosted web server. To have a secure web server it is required to have the CIA (Confidentiality, Integrity, Availability) triad is in place. CIA triad is fulfilled by using mechanisms like symmetric cryptography and public key infrastructure. Protocol TLS (Transport layer security) enables the provision of the CIA triad and its function is described in the first part of this thesis along with the basics of cryptography. In the second part a tool written in the programming language Python is presented, which enables automation of security analysis of algorithms and parameters used by TLS. The tool is also capable of analyzing supported versions of the TLS protocol by a web server. Another feature of the tool is scanning a specific web server implementation. It can also analyze a few chosen vulnerabilities which are also described in the second part. At the end of the thesis the testing environment which was created to test the tool is described.

Description

Keywords

Analýza , Automatizácia , Bezpečnosť , SSL , TLS , Webový server , Analysis , Automation , Security , SSL , TLS , Web Server

Citation

KOPECKÝ, S. Automatický nástroj pro kontrolu úrovně zabezpečení webového serveru [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2021.

Document type

Document version

Date of access to the full text

Language of document

sk

Study field

bez specializace

Comittee

doc. Ing. Karel Burda, CSc. (předseda) JUDr. Pavel Loutocký, BA (Hons), Ph.D. (místopředseda) Ing. Vojtěch Myška, Ph.D. (člen) Ing. David Smékal (člen) Ing. Tomáš Gerlich (člen) Ing. Martin Plšek, Ph.D. (člen) Ing. Ivo Strašil (člen)

Date of acceptance

2021-06-15

Defence

Student prezentoval výsledky své práce a komise byla seznámena s posudky. Student obhájil bakalářskou práci a odpověděl na otázky členů komise a oponenta. Otázky: 1) Co lze vyvodit z testu Vašeho nástroje na stránku vutbr.cz ? A jaké je Vaš doporučení? 2) Obecně je doporučení pro volbu délky klíčů dáno časovým rámcem, je tomu tak i v doporučení pro TLS [34,35]? 3) Můžete zdůvodnit chybějící přítomnost testování podpory SSL algoritmů?

Result of defence

práce byla úspěšně obhájena

DOI

URI

http://hdl.handle.net/11012/197932

Collections

2021

Endorsement

Review

Supplemented By

Referenced By

Citace PRO