A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.

Apresentações semelhantes


Apresentação em tema: "Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction."— Transcrição da apresentação:

1 Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction

2 Considerações sobre Segurança na Web Programar para Web, nem sempre os programadores estão muito preocupados com questões de segurança. Normalmente, quem é especialista em programação, não é especialista em segurança.

3 Considerações sobre Segurança na Web Diante da grande utilização da Web nas suas aplicações tradicionais, a Web é extremamente vulnerável a ameaças e riscos de vários tipos. A Web é vulnerável a ataques aos servidores Web pela Internet.

4 Considerações sobre Segurança na Web Reputações podem ser prejudicadas e dinheiro perdido, se servidores Web forem subvertidos. Navegadores são muito fáceis de usar. Servidores Web sejam relativamente fáceis de configurar e gerenciar o conteúdo da Web esteja cada vez mais fácil de desenvolver......

5 Considerações sobre Segurança na Web O software que dá suporte a tudo isso é extraordinariamente complexo. Assim, pode ocultar muitas falhas de segurança em potencial. A história recente da Web está repleta de exemplos de ataques à segurança...

6 Considerações sobre Segurança na Web Quando o servidor Web é contaminado, um atacante pode ser capaz de obter acesso a dados e sistemas que não fazem parte da Web, mas que estão em máquinas conectadas localmente ao servidor.

7 Considerações sobre Segurança na Web Os usuários ocasionais e não treinados em questões de segurança, são clientes comuns de serviços baseados na Web. Esses usuários, em geral, não estão necessariamente cientes dos riscos contra a segurança e não possuem ferramentas ou conhecimento para tomar contramedidas.

8 Classificando Ameaças Ataques Passivos – Acesso não-autorizado ao tráfego de rede entre navegador e servidor. – Obtenção de acesso a informações em um site, que deveria ser restrito. Ataques Ativos – Simulação de outro usuário. – Alteração de mensagens em trânsito entre cliente e servidor. – Alteração de informações em um site.

9 Classificando Ameaças Local da ameaça – Servidor Web – Navegador Web – Tráfego de rede entre navegador e servidor. Segurança de Sistema de Computador – Questões de segurança de navegador e servidor.

10 Técnicas de Segurança de Tráfego na Web IP Security (IPSec) – Transparente para usuários finais e aplicações. – Oferece uma solução de uso geral. – Inclui capacidade de filtragem pela qual somente o tráfego selecionado precisa ser submetido à etapa adicional do processamento IPSec. – Atua na camada de rede.

11 Técnicas de Segurança de Tráfego na Web Secure Socket Layer (SSL) TLS (Transport Layer Security) Podem ser fornecidos como parte do conjunto básico de protocolos e, portanto, transparente às aplicações. SSL pode ser embutido em pacotes específicos: navegadores e de servidores Web.

12 Técnicas de Segurança de Tráfego na Web Caso não seja, existe, por exemplo, o OpenSSL, que pode ser instalado, facilmente, junto ao servidor Web. Por exemplo: Instale o Apache (servidor Web) e o integre com o OpenSSL.

13 Serviços de Segurança na Aplicação Os serviços de segurança específicos de aplicação (GnuPG, PGP, S/MIME, Kerberos, SET,... ) são embutidos (integrados) na aplicação específica. Vantagem: é que o serviço é ajustado às necessidades específicas de cada aplicação.

14 Ameaças e Ataques impedidos pelo SSL Ataque Cripto-Analítico por força bruta. – Um teste de todas as chaves possíveis para um algoritmo de criptografia convencional.

15 Ameaças e Ataques impedidos pelo SSL Ataque de Dicionário com texto claro conhecido. – Muitas mensagens terão texto claro previsível, como o comando GET do HTTP. Um atacante pode criar um dicionário contendo cada criptografia possível da mensagem de texto claro conhecido.

16 Ameaças e Ataques impedidos pelo SSL – Quando uma mensagem criptografada é interceptada, o atacante apanha a parte contendo o texto claro conhecido criptografado e pesquisa o texto cifrado no dicionário. – O texto cifrado deverá ser igual a uma entrada criptografada com a mesma chave secreta. – Se for igual a mais de uma, cada uma delas pode ser experimentada em relação ao texto cifrado completo para determinar a entrada correta. – Esse ataque é eficaz quando o tamanho da chave é pequeno (40 bits).

17 Ameaças e Ataques impedidos pelo SSL Ataque por Repetição – Mensagens de estabelecimento de conexão SSL anteriores podem ser repetidas.

18 Ameaças e Ataques impedidos pelo SSL Ataque de Homem ao Meio (Man-in-the- Middle) – Um atacante se interpõe durante a troca de chave, atuando como cliente perante o servidor e como servidor perante o cliente.

19 Ameaças e Ataques impedidos pelo SSL Sniffing de Senha Quando as senhas em HTTP ou outro tráfego de aplicação são interceptadas sem autorização.

20 Ameaças e Ataques impedidos pelo SSL IP Spoofing (Falsificação de IP) – Quando um atacante usa endereços de IP forjados para enganar a um host para aceitar dados falsos.

21 Ameaças e Ataques impedidos pelo SSL Sequestro de IP (IP Hijacking) – Uma conexão ativa, autenticada entre dois hosts é interrompida e o atacante toma o lugar de um dos hosts.

22 Ameaças e Ataques impedidos pelo SSL Inundação de SYN (SYN Flooding) – Um atacante pode enviar mensagens SYN do TCP para solicitar uma conexão, mas não responde à mensagem final para estabelecer a conexão totalmente. O módulo TCP atacado, normalmente deixa a conexão meia aberta por alguns minutos. As mensagens SYN repetidas podem congestionar o módulo TCP.


Carregar ppt "Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction."

Apresentações semelhantes


Anúncios Google