BÖHMOVÁ, M. Bezpečnostní testování vybraných síťových protokolů a souvisejících zranitelností [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2022.

Posudky

Posudek vedoucího

Jeřábek, Jan

Studentka řešení své diplomové práce přiměřeně konzultovala s vedoucím práce i odborným konzultantem. Ten od začátku napomáhal při směřování a řešení práce a jeho posudek je taktéž k dispozici. Od začátku však studentka bohužel měla s řešením diplomové práce potíže, které zpomalovaly její postup. Teoretická část práce je přesto zpracována poměrně dobře, po formální i jazykové stránce je taktéž na dobré úrovni. Praktická část práce má však bohužel spíše nižší odbornou úroveň a velmi omezený rozsah. Vytvořené varianty testovacích prostředí jsou však funkční a pro účely základního testování dostatečné. Vytvořené testovací skripty jsou pouze tři. První skript řeší poměrně triviální problematiku a představuje spíše prerekvizitu testování. Druhý a třetí test se nejvíce blíží předpokládanému výstupu práce, avšak jeho formátování, zpracování i provedení není na příliš pokročilé úrovni. Vytvořené skripty využívají jen částečně dostupného testovacího potenciálu a jejich fungování není příliš dobře popsáno. Způsob realizace všech skriptů sice není v rozporu se zadáním, avšak studentka významně využívá již existující nástroje z Kali Linuxu, místo toho, aby vytvořila vlastní řešení. Využitelnost výsledků je z výše uvedených důvodů omezená. Přes všechny uvedené výhrady považuji zadání práce do jisté míry za splněné, byť minimalistickým a v některých ohledech nepříliš zdařilým způsobem. Proto práci hodnotím E/50 bodů.

Navrhovaná známka
E
Body
50

Posudek oponenta

Šeda, Pavel

Bc. Monika Böhmová řešila v rámci diplomové práce bezpečnostní testování pro vybrané síťové protokoly a jejich související zranitelnosti. Textová práce je rozdělena do 6 kapitol. V prvních 4 kapitolách studentka popisuje teoreticky síťové protokoly, testovací prostředí, zranitelnosti a stěžejní aplikace. V páté a šesté kapitole se studentka věnuje již svému praktickému výstupu. Kapitoly by nicméně mohly být více vyrovnané, kde například kapitola 2 je pouze na jednu stranu a kapitola 3 je na 30 stran. Textová část práce odpovídá standardu Fakulty elektrotechniky a komunikačních technologií VUT s minimem typografických či jiných nedostatků. Největším nedostatkem práce je její praktická část. Studentka provedla celkem tři testy. První test získává informace o nastavení sítě, druhý se věnuje zjištění údajů o zařízeních a třetí demonstruje útok man-in-the-middle. Žel první dva testy vůbec nepovažuji za bezpečnostní testy, jde pouze o prerekvizity k jakkémukoliv bezpečnostnímu testování, protože pouhé zjištění uzlů v síti včetně jejich nastavení se opravdu nedá považovat za jakkékoliv testování zranitelnosti protokolů či zařízení. Dalším významným nedostatkem je samotný popis výstupů testů, který pro čtenáře nemá příliš vysokou přidanou hodnotu. V kapitolě 5 jsou uvedeny přilišné implementační detaily (typu jaký příkaz byl použit pro získání informace o operačním systému apod.), většina informací v kapitole 5 patří spíše do příloh textu nikoliv do stěžejních kapitol popisujících testovací scénáře. Například v sekci 6.2 je špatná reference na obrázek (??), dále IP adresy, které jsou uvedeny v testu neodpovídají adresám v topologii uvedené v obrázku 4.5, kde se uvádí, že jde o topologii sítě pro testování. Výsledky nejsou prakticky vůbec rozebrány, například fakt, že zařízení s MAC adresou: “00:0c:29:3D:D5:14” je tam uvedeno 2x s různou IPv4 adresou je minimálně bez komentáře poměrně matoucí. Stejný případ pro první a třetí záznam s IPv6 adresou. Mimo jiné si myslím, že s adekvátním komentářem by zde byly vhodně demonstrovatelné rozdíly mezi IPv6 a IPv4 adresami. Test v sekci 6.3 se jako jediný zabývá bezpečnostním testováním, konkrétně zranitelnostní man-in-the-middle. Bohužel je zde opět naprosto nedostatečný popis samotného testu i výsledků. Například mi zde chybí grafy, které by ukázaly průběh komunikace, časové známky, kdy odpovědi přišly s jakým zpožděním, jak dlouho celý test trval apod. Výsledek v podobě pouhého seznamu IP adres bez jakkéhokoliv popisu nedávájí přílišný smysl, obzvlášt, když se IP adresy v seznamu výstupů opakují. Celkově konstatuji, že alespoň dle pochopení autora posudku mělo být výstupem práce série bezpečnostních testů nad IPv6, viz “V praktické části se soustřeďte zejména na popis testu, způsoby, jak ho provést, možné dopady zranitelnosti na daný systém a jejich závažnost, návaznost na seznam zranitelností, které lze tímto testem odhalit. Součástí práce bude vytvoření nástroje na automatické testování vybraných případů v programovacím jazyce Python.”, což vzhledem k provedení fakticky pouze jednoho testu a ještě nezřetelně vysvětleného považuji za nesplněné zadání, případně splněné velmi nahraně. Vlastní implementace Python scriptů rovněž neodpovídá běžným zvyklostem psaní kódu (příliš dlouhé a komplexní metody apod.). Celkově lze konstatovat že praktická část je velmi triviálního charakteru, jejíž splnění zadání je poměrně diskutabilní. Z tohoto důvodu uděluji 45 bodů se známkou F.

Navrhovaná známka
F
Body
45

Otázky

eVSKP id 141393