Felhasználói munkamenetek rögzítésének technológiája biztonsági és megfelelőségi célokra Képzés

Ez az oktató által vezetett, élő képzés Magyarország (online vagy helyszíni) rendszergazdáknak szól, akik a 389 Directory Server használatával szeretnék konfigurálni és kezelni az LDAP-alapú hitelesítést és engedélyezést.

A képzés végére a résztvevők képesek lesznek:

• Telepíteni és konfigurálni a 389 Directory Server-t.
• Megérteni a 389 Directory Server funkcióit és architektúráját.
• Megtanulni, hogyan konfigurálható a címszerver a webkonzolon és a CLI-n keresztül.
• Beállítani és monitorozni a replikációt a magas rendelkezésre állás és terheléselosztás érdekében.
• Kezelni az LDAP hitelesítést SSSD segítségével a gyorsabb teljesítmény érdekében.
• Integrálni a 389 Directory Server-t a Microsoft Active Directory-val.

Ez az oktató által vezetett, élő képzés Magyarország (online vagy helyszíni) rendszergazdáknak szól, akik a Microsoft Active Directoryt szeretnék használni az adathozzáférés kezelésére és biztosítására.

A képzés végén a résztvevők képesek lesznek:

• Az Active Directory beállítására és konfigurálására.
• Tartomány létrehozására és a felhasználók és eszközök hozzáférési jogainak meghatározására.
• Felhasználók és gépek kezelésére Csoportházirendek segítségével.
• Fájlszerverekhez való hozzáférés szabályozására.
• Tanúsítványszolgáltatás beállítására és tanúsítványok kezelésére.
• Olyan szolgáltatások implementálására és kezelésére, mint a titkosítás, tanúsítványok és hitelesítés.

A biztonságos hálózatos alkalmazások implementálása nehéz feladat lehet még azoknak a fejlesztőknek is, akik korábban már használtak különféle kriptográfiai építőelemeket (például titkosítást és digitális aláírásokat). Annak érdekében, hogy a résztvevők megértsék ezen kriptográfiai alapok szerepét és használatát, először egy szilárd alapot adunk a biztonságos kommunikáció fő követelményeiről – biztonságos visszaigazolás, integritás, titoktartás, távoli azonosítás és anonimitás –, miközben bemutatjuk a tipikus problémákat, amelyek károsíthatják ezeket a követelményeket, valamint a valós megoldásokat.

Mivel a hálózati biztonság kritikus aspektusa a kriptográfia, a szimmetrikus kriptográfia, a hashelés, az aszimmetrikus kriptográfia és a kulcsmegállapodás legfontosabb algoritmusait is tárgyaljuk. Ezen elemeket nem részletes matematikai háttérrel mutatjuk be, hanem fejlesztői szemszögből tárgyaljuk, tipikus használati példákat és a kriptó használatával kapcsolatos gyakorlati megfontolásokat bemutatva, például a nyilvános kulcsú infrastruktúrákat. A biztonságos kommunikáció számos területén bemutatjuk a biztonsági protokollokat, részletesen kitérve a legszélesebb körben használt protokollcsaládokra, mint az IPSEC és az SSL/TLS.

A tipikus kriptográfiai sebezhetőségeket is tárgyaljuk, amelyek bizonyos kriptográfiai algoritmusokkal és protokollokkal kapcsolatosak, mint például a BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE és hasonlók, valamint az RSA időzítési támadás. Minden esetben ismertetjük a gyakorlati megfontolásokat és a lehetséges következményeket az egyes problémákra, ismételten anélkül, hogy belemenjünk a részletes matematikai hátérbe.

Végül, mivel az XML technológia központi szerepet játszik a hálózatos alkalmazások adatcseréjében, az XML biztonsági aspektusait is bemutatjuk. Ez magában foglalja az XML használatát webszolgáltatásokban és SOAP üzenetekben, valamint az XML aláírás és XML titkosítás védelmi intézkedéseit – továbbá ezen védelmi intézkedések gyengeségeit és az XML-specifikus biztonsági problémákat, mint például az XML injekció, az XML külső entitás (XXE) támadások, az XML bombák és az XPath injekció.

A kurzusra jelentkező résztvevők

• Megismerik a biztonság, az IT biztonság és a biztonságos kódolás alapfogalmait
• Megértik a biztonságos kommunikáció követelményeit
• Megismerkednek a hálózati támadásokkal és védelemmel az OSI rétegek szintjén
• Gyakorlati ismereteket szereznek a kriptográfiáról
• Megértik a lényeges biztonsági protokollokat
• Megismernek néhány újabb támadást a kriptorendszerek ellen
• Tájékozódnak néhány újabb kapcsolódó sebezhetőségről
• Megértik a webszolgáltatások biztonsági fogalmait
• Információkat kapnak a biztonságos kódolási gyakorlatok forrásairól és további olvasmányairól

Célközönség

Fejlesztők, szakemberek

Ez a három napos kurzus a C/C++ kód biztonságossá tételének alapjait mutatja be, amelyekkel a rosszindulatú felhasználók által kihasználható sebezhetőségek ellen lehet védekezni, különös tekintettel a memóriakezelésre és a bemenetkezelésre. A kurzus a biztonságos kódírás alapelveit is bemutatja.

Még a tapasztalt Java fejlesztők sem ismerik minden esetben a Java által kínált különféle biztonsági szolgáltatásokat, és szintén nem tisztában a Java nyelven írt webalkalmazásokra vonatkozó különböző sebezhetőségekkel.

A kurzus – a Standard Java Edition biztonsági összetevőinek bemutatása mellett – foglalkozik a Java Enterprise Edition (JEE) és a webszolgáltatások biztonsági kérdéseivel. A specifikus szolgáltatások tárgyalása előtt a kriptográfia és a biztonságos kommunikáció alapjait ismertetjük. Különböző gyakorlatok keretében a JEE deklaratív és programozott biztonsági technikáival foglalkozunk, miközben a webszolgáltatások szállítási rétegbeli és végpontok közötti biztonságát is megvitatjuk. Az összes összetevő használatát számos gyakorlati feladaton keresztül mutatjuk be, ahol a résztvevők kipróbálhatják a tárgyalt API-kat és eszközöket.

A kurzus során bemutatjuk és magyarázatot adunk a Java nyelv és platform leggyakoribb és legsúlyosabb programozási hibáiról, valamint a webes sebezhetőségekről. A Java fejlesztők által elkövetett tipikus hibák mellett a bemutatott biztonsági rések magukban foglalják a nyelvspecifikus problémákat és a futási környezetből származó hibákat is. Minden sebezhetőséget és a hozzá kapcsolódó támadásokat könnyen érthető gyakorlatokon keresztül mutatjuk be, amelyeket az ajánlott kódolási irányelvek és a lehetséges enyhítő technikák követnek.

A kurzus résztvevői

• Megértik a biztonság, az informatikai biztonság és a biztonságos kódolás alapfogalmait
• Megismerik az OWASP Top Ten-en túli webes sebezhetőségeket és megtanulják, hogyan kerülhetik el őket
• Megértik a webszolgáltatások biztonsági koncepcióit
• Megtanulják használni a Java fejlesztői környezet különböző biztonsági funkcióit
• Gyakorlati ismereteket szereznek a kriptográfiáról
• Megértik a Java EE biztonsági megoldásait
• Megismerik a tipikus kódolási hibákat és megtanulják, hogyan kerülhetik el őket
• Tájékozódnak a Java keretrendszer legújabb sebezhetőségeiről
• Gyakorlati ismereteket szereznek a biztonsági tesztelési eszközök használatában
• Forrásanyagokat és további olvasmányokat kapnak a biztonságos kódolás gyakorlatáról

Célközönség

Fejlesztők

Leírás

A Java nyelv és a Runtime Environment (JRE) úgy lett tervezve, hogy mentes legyen a más nyelvekben, például a C/C++-ban előforduló legproblémásabb biztonsági sebezhetőségektől. Azonban a szoftverfejlesztőknek és architektusoknak nemcsak a Java környezet különböző biztonsági funkcióinak használatát kell ismerniük (pozitív biztonság), hanem tisztában kell lenniük azokkal a sebezhetőségekkel is, amelyek továbbra is relevánsak a Java fejlesztés során (negatív biztonság).

A biztonsági szolgáltatások bemutatása előtt röviden áttekintjük a kriptográfia alapjait, amelyek közös alapot nyújtanak az alkalmazható komponensek céljának és működésének megértéséhez. Ezeknek a komponenseknek a használatát több gyakorlati feladaton keresztül mutatjuk be, ahol a résztvevők kipróbálhatják a tárgyalt API-kat.

A kurzus során bemutatjuk és magyarázatot adunk a Java nyelv és platform leggyakoribb és legsúlyosabb programozási hibáiról, amelyek mind a Java programozók által elkövetett tipikus hibákat, mind a nyelv- és környezetspecifikus problémákat lefedik. Az összes sebezhetőséget és a releváns támadásokat könnyen érthető gyakorlatokon keresztül mutatjuk be, majd ajánlott kódolási irányelveket és lehetséges enyhítési technikákat ismertetünk.

A kurzusra jelentkező résztvevők

• Megismerik a biztonság, az IT biztonság és a biztonságos kódolás alapvető fogalmait
• Megismerik az OWASP Top Tenen túlmutató webes sebezhetőségeket és megtanulják, hogyan kerülhetik el azokat
• Megtanulják a Java fejlesztői környezet különböző biztonsági funkcióinak használatát
• Gyakorlati szinten megértik a kriptográfiát
• Megismerik a tipikus kódolási hibákat és megtanulják, hogyan kerülhetik el azokat
• Tájékozódnak a Java keretrendszer néhány friss sebezhetőségéről
• Információhoz és további olvasmányokhoz jutnak a biztonságos kódolási gyakorlatokról

Célközönség

Fejlesztők

Számos programozási nyelv áll ma rendelkezésre a .NET és ASP.NET keretrendszerekhez történő kódfordításhoz. A környezet hatékony eszközöket biztosít a biztonsági fejlesztéshez, de a fejlesztőknek tudniuk kell, hogyan alkalmazzák az architektúra- és kódolási szintű programozási technikákat annak érdekében, hogy megvalósítsák a kívánt biztonsági funkcionalitást, és elkerüljék a sebezhetőségeket vagy korlátozzák azok kihasználását.

A kurzus célja, hogy a fejlesztők számos gyakorlati feladaton keresztül megtanulják, hogyan akadályozzák meg a nem megbízható kódot a privilegizált műveletek végrehajtásában, hogyan védjék az erőforrásokat erős hitelesítéssel és engedélyezéssel, hogyan biztosítsanak távoli eljáráshívásokat, kezeljék a munkameneteket, bemutassanak különböző megvalósításokat bizonyos funkcionalitásokhoz, és még sok mást.

A különböző sebezhetőségek bemutatása a .NET használata során elkövetett tipikus programozási hibák bemutatásával kezdődik, míg az ASP.NET sebezhetőségeinek tárgyalása során különböző környezeti beállítások és azok hatásai is szóba kerülnek. Végül, az ASP.NET-specifikus sebezhetőségek témaköre nem csak általános webalkalmazás-biztonsági kihívásokkal foglalkozik, hanem speciális problémákkal és támadási módszerekkel is, mint például a ViewState támadása vagy a karakterlánc-lezárási támadások.

A kurzus résztvevői

• Megismerik a biztonság, az IT biztonság és a biztonságos kódolás alapvető fogalmait
• Megismerik az OWASP Top Tenon túlmutató webes sebezhetőségeket, és megtanulják, hogyan kerüljék el azokat
• Megtanulják használni a .NET fejlesztői környezet különböző biztonsági funkcióit
• Gyakorlati ismereteket szereznek a biztonsági tesztelési eszközök használatában
• Megismerik a tipikus kódolási hibákat és megtanulják, hogyan kerüljék el azokat
• Információhoz jutnak a .NET és ASP.NET legújabb sebezhetőségeiről
• Forrásokat és további olvasmányokat kapnak a biztonságos kódolási gyakorlatokról

Célközönség

Fejlesztők

A kurzus alapvető készségekkel látja el a PHP fejlesztőket, amelyek szükségesek ahhoz, hogy alkalmazásaikat ellenállóvá tegyék a modern internetes támadásokkal szemben. A webes sebezhetőségeket PHP-alapú példákon keresztül tárgyaljuk, túlmutatva az OWASP top tízes listáján, kezelve különféle injekciós támadásokat, szkript injekciókat, a PHP munkamenetkezelését célzó támadásokat, nem biztonságos közvetlen objektumhivatkozásokat, fájlfeltöltéssel kapcsolatos problémákat és még sok mást. A PHP-vel kapcsolatos sebezhetőségeket a szabványos sebezhetőségi típusok szerint mutatjuk be, mint például a hiányzó vagy helytelen bemeneti ellenőrzés, hibás hibakezelés és kivételkezelés, a biztonsági funkciók helytelen használata, valamint az idő- és állapotfüggő problémák. Az utóbbiakhoz olyan támadásokat tárgyalunk, mint az open_basedir megkerülése, a szolgáltatásmegtagadás a magic float-on keresztül vagy a hash tábla ütközési támadás. Minden esetben a résztvevők megismerik a legfontosabb technikákat és funkciókat, amelyekkel az előbb felsorolt kockázatok enyhíthetők.

Különös hangsúlyt kap az ügyféloldali biztonság, amely a JavaScript, az Ajax és az HTML5 biztonsági kérdéseivel foglalkozik. Számos biztonsággal kapcsolatos PHP-bővítményt mutatunk be, mint például a hash, mcrypt és OpenSSL a kriptográfiához, vagy a Ctype, ext/filter és HTML Purifier a bemeneti ellenőrzéshez. A legjobb merevítési gyakorlatokat a PHP konfigurációval (php.ini beállítása), az Apache-val és általában a szerverrel kapcsolatban adjuk meg. Végül áttekintést nyújtunk különféle biztonsági tesztelési eszközökről és technikákról, amelyeket a fejlesztők és tesztelők használhatnak, beleértve a biztonsági szkennereket, penetrációs tesztelést és exploit csomagokat, sniffereket, proxy szervereket, fuzzing eszközöket és statikus forráskód elemzőket.

Mind a sebezhetőségek bemutatása, mind a konfigurációs gyakorlatok számos gyakorlati feladattal támogatottak, amelyek bemutatják a sikeres támadások következményeit, megmutatják a enyhítő technikák alkalmazását és bemutatják a különféle bővítmények és eszközök használatát.

A kurzusra jelentkező résztvevők

• Megismerik a biztonság, az informatikai biztonság és a biztonságos kódolás alapvető fogalmait
• Megismerik az OWASP Top Tízen túli webes sebezhetőségeket és megtanulják, hogyan kerülhetik el őket
• Megismerik az ügyféloldali sebezhetőségeket és a biztonságos kódolási gyakorlatokat
• Gyakorlati ismereteket szereznek a kriptográfiáról
• Megtanulják a PHP különféle biztonsági funkcióinak használatát
• Megismerik a tipikus kódolási hibákat és megtanulják, hogyan kerülhetik el őket
• Tájékozottak lesznek a PHP keretrendszer legújabb sebezhetőségeiről
• Gyakorlati ismereteket szereznek a biztonsági tesztelési eszközök használatában
• Forrásanyagokat és további olvasnivalókat kapnak a biztonságos kódolási gyakorlatokról

Célközönség

Fejlesztők

A Kombinált SDL alapképzés betekintést nyújt a biztonságos szoftvertervezésbe, fejlesztésbe és tesztelésbe a Microsoft Secure Development Lifecycle (SDL) keretében. A képzés szintje 100, amely áttekintést ad az SDL alapvető építőelemeiről, majd tervezési technikákat mutat be a hibák felismerésére és javítására a fejlesztési folyamat korai szakaszaiban.

A fejlesztési fázissal foglalkozva a kurzus áttekintést nyújt mind a managed, mind a natív kód tipikus biztonsági hibáiról. A tárgyalt sebezhetőségekhez kapcsolódó támadási módszereket és azok enyhítési technikáit mutatjuk be, mindezt számos gyakorlati feladaton keresztül, amelyek élvezetes hackelési élményt nyújtanak a résztvevőknek. A különböző biztonsági tesztelési módszerek bemutatása után bemutatjuk a különböző tesztelési eszközök hatékonyságát. A résztvevők gyakorlati feladatok során megismerhetik ezeknek az eszközöknek a működését, amikor azokat a már tárgyalt sebezhető kódra alkalmazzák.

A kurzus résztvevői a következőket fogják megtanulni:

Megismerik a biztonság, az IT biztonság és a biztonságos kódolás alapvető fogalmait

Megismerkednek a Microsoft Secure Development Lifecycle alapvető lépéseivel

Megtanulják a biztonságos tervezési és fejlesztési gyakorlatokat

Megismerik a biztonságos implementáció elveit

Megértik a biztonsági tesztelési módszertant

• Forrásokat és további olvasmányokat kapnak a biztonságos kódolási gyakorlatokról

Célközönség

Fejlesztők, Menedzserek

Ez az oktató által vezetett, élő képzés Magyarország (online vagy helyszíni) rendszergazdáknak szól, akik szeretnék a FreeIPA segítségével központosítani a szervezetük felhasználóinak, csoportjainak és gépeinek hitelesítését, engedélyezését és fiókinformációit.

A képzés végére a résztvevők képesek lesznek:

• A FreeIPA telepítésére és konfigurálására.
• Linux felhasználók és kliensek kezelésére egyetlen központi helyről.
• A FreeIPA CLI, Web UI és RPC interfészének használatára engedélyek beállításához és kezeléséhez.
• Single Sign On hitelesítés engedélyezésére az összes rendszer, szolgáltatás és alkalmazás számára.
• A FreeIPA integrálására a Windows Active Directory-val.
• FreeIPA szerver biztonsági mentésére, replikálására és migrálására.

Ez az oktató által vezetett, élő képzés Magyarország (online vagy helyszíni) rendszergazdáknak szól, akik az Okta-t szeretnék használni az azonosítás és hozzáférés-kezelés területén.

A képzés végére a résztvevők képesek lesznek:

• Az Okta konfigurálására, integrálására és kezelésére.
• Az Okta integrálására egy meglévő alkalmazásba.
• Biztonsági megoldások implementálására többtényezős hitelesítéssel.

Ez az oktató által vezetett, élő képzés Magyarország (online vagy helyszíni) középhaladó szintű rendszergazdáknak és IT szakembereknek szól, akik az OpenLDAP segítségével szeretnének LDAP-címtárakat telepíteni, konfigurálni, kezelni és biztosítani.

A képzés végére a résztvevők képesek lesznek:

• Megérteni az LDAP-címtárak szerkezetét és működését.
• Az OpenLDAP telepítése és konfigurálása különböző üzembe helyezési környezetekben.
• Hozzáférés-vezérlés, hitelesítés és replikációs mechanizmusok implementálása.
• Az OpenLDAP használata harmadik féltől származó szolgáltatásokkal és alkalmazásokkal.

Ez az oktató által vezetett, élő képzés Magyarország-ban (online vagy helyszíni) rendszergazdáknak szól, akik az OpenAM-et szeretnék használni webalkalmazások identitás- és hozzáférés-kezeléséhez.

A képzés végén a résztvevők képesek lesznek:

• Beállítani a szükséges szerverkörnyezetet a hitelesítés és hozzáférés-kezelés konfigurálásához az OpenAM segítségével.
• Egyszeri bejelentkezés (SSO), többtényezős hitelesítés (MFA) és felhasználói önkiszolgáló funkciók implementálása webalkalmazásokhoz.
• Federációs szolgáltatások (OAuth 2.0, OpenID, SAML v2.0 stb.) használata az identitáskezelés biztonságos kiterjesztésére különböző rendszerek vagy alkalmazások között.
• Hitelesítési, engedélyezési és identitáskezelési szolgáltatások elérése és kezelése REST API-kon keresztül.

Ez az oktató által vezetett, élő képzés Magyarország (online vagy helyszíni) rendszergazdáknak szól, akik az OpenDJ segítségével szeretnék kezelni szervezetük felhasználói hitelesítő adatait egy üzemi környezetben.

A képzés végére a résztvevők képesek lesznek:

• Az OpenDJ telepítésére és konfigurálására.
• Az OpenDJ szerver karbantartására, beleértve a monitorozást, hibaelhárítást és teljesítményoptimalizálást.
• Több OpenDJ adatbázis létrehozására és kezelésére.
• Az OpenDJ szerver biztonsági mentésére és migrálására.