Beveiliging van netwerk- en computerinfrastructuur

Ga naar: navigatie, zoeken
ChristopheHuygens.jpg

Samenvattingen

Klik hier om de samenvattingen te bekijken

Lijst van afkortingen

Deel 1

  • CSP: Corporate Security Policy
  • UAT: User Acceptance Testing
  • SLA: Service Level Agreement
  • BCP: Business Continuity Plan
  • DRP: Disaster Recovery Plan
  • CITSP: Corporate Information Technology Security Policy
  • GTI: Grand Travaux Inutiles (grote, nutteloze werken) => gebouwd maar niet in gebruik
  • CBA: Cost-Benefit Analysis
  • ORM: Operational Risk Management
  • SOX: Sarbanes-Oxley Act (VS)
  • HIPAA: Health Insurance Portability and Accountability Act (VS)
  • SSE-CMM: Systems Security Engineering - Common/Capability Maturity Model
  • COBIT: Control Objectives for Information and related Technology
  • ITIL: Information Technology Infrastructure Library

Deel 2

  • HSM: Hardware Security Module
  • PKCS: Public-Key Cryptography Standards

Examenvragen

2015 - 2016

20 juni

  1. Producing secure software is not only a technical but amongst others also an ethical issue. Please elaborate on this statement.
  2. Is penetration testing complementary to ISO17799/2700x/BS7799? Explain.
  3. Design (topology and architectural elements) a secure email system for African farmers. Discuss both client and server side. Discuss how authentication, integrity, confidentiality and non-repudiation are done in your solution. Position Antivirus and IDS. Draw stack and PDUs (with from/to addresses and (de)multiplexing) at critical places.

16 juni

  1. Aandeelgraph van slide 41: klopt het dat de security breach van HPY gevolgen had voor haar aandelen? Wat betekent dit voor security?
  2. Lijst en illustreer de marktfalingen voor de security markt
  3. Ontwerp een architectuur voor transaction exchange voor een e-bank. Voorzie authentication, integrity, confidentiality en non-repudiation en pas ook antivirus en IDS in

15 juni

  1. De tabel van risk posture op slide 10 is gegeven. (4 punten)
    1. Wie zit er meer in met privacy: USA,CHINA of JAPAN?
    2. Is het nuttiger om bij Facebook beveilingsinstellingen te doen in CHINA of JAPAN?
  2. Leg uit: maturiteitsmodellen en hun grootste voordeel. (4 punten)
  3. Ontwerp een beveiligingsperimeter voor een Farmalab met file sharing service. Waar zet je IDS en AV? Teken op kritieke punten de protocol stack en de PDU's. Bespreek authenticiteit, confidentialiteit, non-repudiation en integriteit. (8 punten)

2014-2015

22 juni

  1. The software industry is still immature. How does this affect customers?
  2. Which metrics can a software factory use to measure its software quality?
  3. Design an infrastructure for a large retailer (Colruyt, Delhaize,...). Draw the PDU & protocol stacks for the critical points. How do you secure remote access for sites?
  4. Explain briefly
    1. MIPS
    2. Mixed web content problems

18 juni

  1. What are the security related disadvantages of the network effect? Explain.
  2. Why is a Maturity Model important?
  3. Design an infrastructure for online banking. Which security aspects are important? (confidentiality, integrity, availability,...) Draw the PDU & protocol stacks for the critical points.
  4. Explain briefly
    1. Boehm's law
    2. APT kill chain

17 juni

  1. Throughout the course, we have discussed how aspects of security are influenced by cultural differences. Describe the issue and illustrate with examples.
  2. The loss database of an user is a good proxy for the secruity quality of the software he is using: true or false? Make your argument.
  3. Design the perimeter infrastructure of a pharmaceutical lab. Draw the stack and PDU at critical places.
  4. Explain briefly
    1. TVA
    2. AOD concern diffusion

2012 - 2013

20 juni

  1. De tabel van risk posture op slide 10 is gegeven.
    1. Wie is er meer bezig met privacy USA,CHINA, JAPAN
    2. Is het nuttiger om bij Facebook beveilingsinstellingen te doen in CHINA of JAPAN?
  2. Leg uit: maturiteitsmodellen en hun grootste voordeel.
  3. Ontwerp een Farmalab waarbij een client en server communiceren over internet. Ga ervan uit dat servers en gebruikers services zijn. Waar zet je IDS en AV? Teken op kritieke punten de protocol stack en de PDU's.
  4. Leg uit:
    1. Wat is slack space
    2. Welke indicatoren voor OR bestaan er voor gebruikers van software? Zijn er beperkingen om hier mee te werken?

2011-2012

20 juni NM

  1. Bespreek de volgende concepten:
    1. state monitoring
    2. TCP wrapper
    3. Satan tool
    4. time based security
  2. Metcalfe's law (waarde van een netwerk is kwadratisch afhankelijk van het aantal gebruikers): welke invloed op beveiligingskwaliteit?
  3. Geef en bespreek enkele voorbeelden van externalities buiten de IT sector. Hoe kan de overheid risicovol gedrag tegengaan?
  4. IPSec ESP mode en NAT: problemen?
  5. Schets een netwerk voor veilige e-banking. Geef de PDU en protocol stack op belangrijke plaatsen in het netwerk. Bespreek in detail transactiebeveiliging. Hoe kan je DoS aanvallen stoppen/vermijden?

2010-2011

27 juni NM

  1. SoftwareFactory schrijft een boekhoudpakket. Is backup van de development server met nightly builds van dit pakket voor SoftwareFactory een industrieel of een operationeel risico?
  2. Waarom is het bepalen van softwarebeveiliging op basis van observaties door gebruikers zo moeilijk?
  3. Wat is "event monitoring"? Welke tools gebruiken we bijvoorbeeld hiervoor?
  4. Geef en illustreer 3 marktmechanismen die slechte beveiliging veroorzaken.
  5. Ik wil anoniem surfen. Ontwerp en een bespreek een oplossing voor dit probleem. Vergeet niet steeds de PDU's en de protocolstapel te tekenen op kritieke plaatsen in het netwerk.
  6. Bespreek de beveiliging van het Toledo leerplatform

24 juni NM

  1. Gegeven grafiek risk posture (anxiety and risk). "Amerikanen hebben meer schrik voor een aardbeving dan Chinezen", klopt deze uitspraak?
  2. Geef en bespreek voorbeelden van externaliteiten _buiten_ de IT. Wat kan de overheid doen om dit risicovol gedrag tegen te gaan?
  3. Metcalfe's law (waarde van een netwerk is kwadratisch afhankelijk van het aantal gebruikers): welke invloed heeft deze op beveiligingskwaliteit?
  4. Ontwerp een oplossing voor veilig e-banking (Je moet op kritische punten pakketten en protocolstapels tekenen). Bespreek in detail de perimeterbeveiliging. Hoe kan men zich tegen DoS-aanvallen beschermen?

2009-2010

18 juni VM

  1. Het bedrijf SoftwareFactory ontwikkelt een boekhoudpakket. Is de beveiliging ervan voor SoftwareFactory industrieel risico of operationeel risico.
  2. Kan je de softwaremarkt vergelijken met de markt van tweedehands auto's?
  3. Is beveiliging belangrijk voor Facebook? (pros en cons)
  4. Ontwerp een infrastructuur voor veilige e-banking. Teken de PDU's en de protocolstapel op alle belangrijke plaatsen. Beschrijf in detail het verloop van een transactie.


2008-2009

31 aug 2009 VM

  1. Je krijgt een text waaruit je een industriele en operationele risico's moet extraheren (finansieel context bij banken).
  2. Vergelijk europees en VS-VK policies management.

Nog een bijvraag :waarom willen ze in VS-VK responsibility vermijden (policy leidt tot toekennen van responsibilites)

  1. Shibboleth gebruiken voor anonymous inloggen en toch persistensie van sessie(s) behouden? Mogelijk (indien ja, dan hoe)?

Het gaat min of meer over hoe kan je vandaag inloggen en zeg maar overmorgen uw sessie terug opvragen (persistentie).Tricky part is dat je telkens met andere nameID inlogt (want je ben anoniem!) kijk dan eens op wat er met de attributen gebeurt en dan ben je er wat verder ermee :)

  1. Ontwerp velige PC banking. Besprek transactie beveiliging (wat moet van een transactie beveiligd worden concreet) en netwerk perimeter + pakketen op cruciale plaatsen tekenen.

Ik maakte soort gelijk aan KBC: 2 firewalls tussen 3 tiers(klant,DMZ,backend intranet). DMZ met WS en IDS op een bastion toegenkelijk enkel via reverse proxy. WS communiceert met Application server(+app gateway draait erop) in backend tier om zo indirect een toegeng te krijgen tot DB. Ook antivirus gebruiken op de machines + automatisch updates. Authenticatie van klant en bank via certificten . SSL (dus via HTTPS port!). Het was min of meer de basis dat je verder moet goed beargumenteren en uitbreiden met je eigen ideen (bv.expliciete policy voor klanten en veel meer).

19 juni 2009 VM

  1. Belgische banken nog steeds kraakbaar Bron: ZDNet
    Beveiliger signaleert malware gericht op financiële instellingen Beveiliger signaleert malware gericht op financiële instellingen. Webcriminelen hebben het nog steeds gemunt op Belgische banken.
    Volgens vaststellingen van beveiligingsbedrijf Panda Security is er malware in omloop die banken in ons land, maar ook in Nederland, heel gericht viseert. De ontdekking bevestigt de evolutie van de laatste maanden, waarin er meer schadelijke software opduikt die zich niet op de massa maar op specifieke groepen toelegt. Welke banken precies onder vuur liggen, wil Panda liever niet kwijt. Het probleem ligt in ons land immers gevoelig sinds een half jaar geleden bekend raakte dat in de systemen van KBC, Dexia en Argenta werd ingebroken. Net zoals toen gaat het niet om een geopend achterpoortje bij de banken, maar om een gebrekkige beveiliging bij de gebruiker.
    Concreet gaat het om schadelijke software die zich nestelt op de computer van de gebruiker. Het programma wordt vervolgens actief wanneer het slachtoffer gaat thuisbankieren. Om de problematiek tegen te gaan, vragen banken de laatste maanden steeds meer om een actuele beveiliging door de klant. Maar zelfs daarmee glippen sommigen hackers door de mazen van het net.
    1. Welke elementen van industriëel en operationeel risico vind je hier terug?
    2. Stel een oplossing voor.
    1. Waarom is het CMMI een effectievere methode dan procedurele methode zoals ISO 17999?
    2. Hoe kan een persistentie sessie gemaakt worden die de anonimitiet van de user garandeert in een shiboleth omgeving ?
  2. KBC verandert zijn identity management van een situatie die de focus legt op de perimeter naar een airportmodel. Bespreek. Waar komt de focus te liggen.
  3. Je logt in bij de bank via telenet. Beschrijf de oplossing, schets de infrastructuur (hosts, routers, netwerken,...), de protocolstapels en PDUs op kritische plaatsen, de adreselementen van de PDUs op elke laag van de stapel.

--Uvrt

2007-2008

25/06/08 VM

  1. (wikipedia) Het valutarisico is onder te verdelen in drie soorten: (pre-)transactie, operationeel en translatierisico:
    • Het translatierisico ontstaat als het gevolg van transacties in buitenlandse valuta's. Daarnaast onderkent men ook een pre-transactie exposure (blootstelling aan risico), dit is het risico op potentiële transacties zoals uitstaande offertes. Het risico heeft zijn effect op resultatenrekening van de korte termijn doordat de onderneming meer of minder opbrengsten c.q. kosten heeft door een verandering in de valuta.
    • Het structureel risico is het risico dat ontstaat als gevolg van de structuur en omzet van de bedrijfsactiviteiten van een onderneming. Een goed voorbeeld van een structureel risico was het bedrijf Fokker. Deze produceerde vliegtuigen in Nederland en verkocht deze in dollars. Het resultaat bleef op lange termijn gevoelig voor een verandering van de waarde van de dollar door de opzet van de activiteiten.
    • Het translatierisico is de verandering van de intrinsieke waarde van de onderneming als gevolg van een verandering in de koers doordat bijvoorbeeld deelnemingen in vreemde valuta worden geherwaardeerd. Dit betreft bijvoorbeeld een lange termijn investering in een andere valuta dan de rapportagevaluta. Bijvoorbeeld, een Nederlandse multinational die een investering doet in een Russische onderneming kan de waardering van deze deelneming zien dalen door een devaluatie van de roebel. De oorzaak van een translatierisico ligt vaak in een ver verleden en de in te dekken cashflows in de verre toekomst. Een translatierisico heeft alleen een effect op de balans.
    • Welke elementen van industriëel en operationeel risico vind je hier terug?
  2. Geef een aantal voorbeelden van beveiligingsmetrieken
    • voor programmatuur
    • voor infrastructuur
  3. Waarom werkt de basel II richtlijn zo motiverend voor banken
  4. Een bedrijf heeft 1 hoofdsite en 4 kleinere site met een dynamisch adres: ontwerp een perimeter voor alle sites. Hoe gebeurt de authenticatie voor de kleine sites? Kan dit met certificaten?

Bij infrastructuurtekeningen steeds PDUs en stapel aangeven.

2006-2007

22:06/07

  1. Heeft een makelaar die in effecten handelt langs het internet vooral te maken met operationeel of industrieel risico?
  2. Hoe voorkomt Shibboleth dat je voor iedere sessie jezelf moet authenticeren, en hoe zorgt het ervoor dat permanente gegevens niet verloren gaan?
  3. Bespreek de verschillende onderdelen van een CSP.
  4. Iemand wil telebankieren. Ontwerp een veilige opstelling aan de client-zijde.

2005-2006

22/08/06 VM

  1. Culturele verschillen in beveiligingsbeleid en -aanpak.
    1. Geef mogelijke problemen bij GMail (of andere serverside mail)
    2. Overheid internet afluisteren: hoe?
  2. Industrieel risico in financiele wereld. Geef voorbeelden.
  3. Infrastructuur: e-banking

30/06/06 VM

  1. Een metriek die het operationeel risico voorspelt noemt men een risico-indicator of KRI. Illustreer elk deeldomein van OR met een voorbeeld-KRI. (Nadat de eerste persoon het grandioos verkeerd het begrepen zei prof: personnel, processes, systems, external)
  2. Bespreek ISO17799 - als je voldoet aan ISO17799 ben je dan ook "veilig"?
  3. Twee drugkartels wensen Email uit te wisselen, ontwerp de beveiligingsinfrastructuur. (beschrijf de oplossing, schets de infrastructuur (hosts, routers, netwerken,...), de protocolstapels en PDUs op kritische plaatsen, de adreselementen van de PDUs op elke laag van de stapel)
  4. Wat is Tacacs? Geef een korte schets van een toepassingsscenario.

29/06/06 VM

  1. Eenmaal je een operationeel risico hebt geidentificeerd, hoe kan je er dan mee omgaan?
  2. Wat is er zo belangrijk aan een maturity model?
  3. Geef een infrastructuur voor e-banking. Geef op elk van de belangrijke punten de protocol stack en de PDUs
  4. Wat is radius? Schets een scenario van waar het gebruikt kan worden.

26/06/06 VM

  1. Is een beveiligingsrisico altijd een operationeel risico?
  2. Geef van elk van de 7 deeldomeinen van de beveiligingscontext een voorbeeld.
  3. Mijn bedrijf heeft 2 filialen die met huurlijnen met het internet zijn verbonden, ontwerp de beveiligingsinfrastructuur. Werkt eenzelfde oplossing ook voor thuisgebruikers die via Telenet zijn verbonden? (beschrijf de oplossing, schets de infrastructuur (hosts, routers, netwerken,...), de protocolstapels en PDUs op kritische plaatsen, de adreselementen van de PDUs op elke laag van de stapel)
  4. Waarom is inbraakdetectie slecht geconditioneerd als probleem?

Antwoorden

  1. Ja, beveiligingsrisico's zouden deel uitmaken van de operationele risico's, dus niets te maken met Industrie Risico (IR)
  2. (1.)IT - firewall (2.) Physical - overstromingen, dieven,... (3.) Environment - milieubelastend, rotsooi niet verdoezelen (4.) Human - kinderarbeid (5.) Organizational - universiteit vs. leger (6.) Administrative - hoe lang gegevens bijhouden van verhuur porno-video's ofzo (7.) Legal - business doen volgens regels van het land (SOX wet)
  3. infra..fra..structuur
  4. Beetje zeveren uit hoofdstuk 9 van handboek, zeker figuur 9.1 p.298 vermelden en uitleggen.


--Vincent

2004-2005

27/06/05 VM

1) geef voorbeeld van elk van de 7 domeinen die CSP kan omvatten

2) op welke plaats in de infrastructuur zou je antivirus componenten zetten

3) bank wil website, email en e-banking aanbieden aan klanten, ontwerp infrastructuur

27/06/05 NM

1) CSP culturele verschillen van Lemoigne Triangle uitleggen tussen Amerika en Europa

2) IDS: waar in de internetperimeter?

3) bedrijf met mail/file/webserver en enkel werknemers mogen aan fileserver: ontwerp een securitydesign

05/07/05 VM

1) ISO-17799/BS7799: bespreek

2) IDS bespreek problemen + oplossingen in de context van VPN.

3) Ik surf met een ADSL-aansluiting naar de Toledo-website. Geef de infrastructuur hiervan.