Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.

Slides:



Advertisements
Apresentações semelhantes
Alex Coletta Rafael Curi
Advertisements

Redes II Comércio Eletrônico
Segurança em Redes - Código Seguro
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Exercícios de Revisão Redes de Computadores Edgard Jamhour
Exercícios de Revisão Redes de Computadores Edgard Jamhour
Segurança de Perímetro
Segurança da Camada de Transporte
Esdras Degaspari Leite
Criptografia e Segurança de Redes Capítulo 16
Firewall.
Um Mecanismo de Proteção Contra a Previsibilidade de Informações em Pacotes WTICG /SBSeg 2010 Bruno G. DAmbrosio Eduardo Ferreira de Souza Paulo André
TCP/IP básico e outros protocolos
Introdução às Redes Privadas Virtuais - VPN
Sistemas Distribuídos
Prof. Rafael Guimarães, PhD
Modelo de Segurança para Ambientes Cooperativos
SSL/TLS Universidade Federal do Rio de Janeiro Escola Politécnica
Modelo de referência OSI
Classificação de Ataques
Sistemas de Detecção de Intrusão
Autenticação de Mensagens
Troca de Chaves Autenticação
Aula 9 - Camada de aplicação
Gerencia de Redes Redes de Computadores II
Hash HTTPS SSL Certificados.
Segurança de Redes Wayne Palmeira.
VPN (Virtual Private Network)
VPN Virtual Private Network.
O que é o .
Secure Sockets Layer (SSL) e Transport Layer Security (TLS)
Domínio de Conhecimento 2: Segurança em Comunicações
IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)‏
Rafael Alcantara de Paula SSL e Certificado Digital Belo Horizonte, 31 de Janeiro de 2012.
Confidencialidade usando Criptografia Simétrica
Aspectos de segurança em redes wireless Redes wireless Aula 10 – Aspectos de segurança em redes wireless Prof. Espec. Diovani Milhorim.
Camada de Transporte prof. Eduardo.
7: Segurança de Redes1 Capítulo 7: Segurança de Redes Fundamentos: r o que é segurança? r criptografia r autenticação r integridade de mensagens r distribuição.
Segurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
IIS Web Server.
Exercícios IPsec e LDAP
PGP – Pretty Good Privacy Privacidade Bastante Boa
Escola Secundaria Sebastião da Gama Trabalho realizado por: André Santos 12ºL nº:2 Prof: Carlos Pereira.
Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.
Tópicos Avançados em Redes de Computadores
1.2 – Tipos de Ataques Cavalo de Tróia; Backdoors; Spoofing; Sniffing;
Segurança & Auditoria de Sistemas AULA 07 Eduardo Silvestri
Firewall Luidi V. A. Andrade. Firewall  Um firewall protege rede de computadores de invasões hostis que possa comprometer confidencialidade ou resultar.
Prof.°: João Henrique Disciplina: SOR II
DoS- Denial od Service Autor Edimar Babilon dos Santos.
FTIN Formação Técnica em Informática Módulo Sistema Proprietário Windows AULA 03 Prof. André Lucio.
Execícios de Revisão Redes de Computadores Edgard Jamhour
Capítulo 11 DoS - Denial of Service DDoS - Distributed Denial of Service DRDoS - Distributed Reflection Denial of Service.
Introdução à Criptografia Moderna Seminário do Projeto 2 8/6/20151André Guedes - agl / Rodrigo Diêgo - rdma.
Execícios de Revisão Redes de Computadores Edgard Jamhour
INE 5630 Segurança da Informação
SSL / TLS.
Tema 08: Segurança em Redes
Trabalho elaborado por: -Daniel Nº26 -André Nº3. * A camada de rede do modelo OSI é responsável por controlar a operação da rede de um modo geral. As.
FIREWALL.
TECNOLOGIA DA INFORMAÇÃO Gildo Leonel Lillian Cherrine.
REDES DE COMPUTADORES II
Administração e Projeto de Redes Material de apoio Camada de Transporte Cap.4 10/02/2010.
Exercícios de Revisão Redes de Computadores Edgard Jamhour
IDS (Intrusion Detection System) Sistemas de Detecção de Intrusão
FTPS E SFTP. FTPS e SFTP são dois protocolos distintos que trabalham em portas de comunicação diferentes e oferecem o compartilhamento remoto de arquivos.
Segurança em Comércio Eletrônico Comércio tradicional realizado de maneira centralizada cercado de restrições legais Comércio eletrônico realização de.
Segurança Perimetral - Firewall
SOCKET - É um canal de comunicação entre processos que estabelece uma conexão entre eles na forma de cliente-servidor. Por meio de sockets, os computadores.
Transcrição da apresentação:

Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction

Considerações sobre Segurança na Web Programar para Web, nem sempre os programadores estão muito preocupados com questões de segurança. Normalmente, quem é especialista em programação, não é especialista em segurança.

Considerações sobre Segurança na Web Diante da grande utilização da Web nas suas aplicações tradicionais, a Web é extremamente vulnerável a ameaças e riscos de vários tipos. A Web é vulnerável a ataques aos servidores Web pela Internet.

Considerações sobre Segurança na Web Reputações podem ser prejudicadas e dinheiro perdido, se servidores Web forem subvertidos. Navegadores são muito fáceis de usar. Servidores Web sejam relativamente fáceis de configurar e gerenciar o conteúdo da Web esteja cada vez mais fácil de desenvolver ... ...

Considerações sobre Segurança na Web O software que dá suporte a tudo isso é extraordinariamente complexo. Assim, pode ocultar muitas falhas de segurança em potencial. A história recente da Web está repleta de exemplos de ataques à segurança ...

Considerações sobre Segurança na Web Quando o servidor Web é contaminado, um atacante pode ser capaz de obter acesso a dados e sistemas que não fazem parte da Web, mas que estão em máquinas conectadas localmente ao servidor.

Considerações sobre Segurança na Web Os usuários ocasionais e não treinados em questões de segurança, são clientes comuns de serviços baseados na Web. Esses usuários, em geral, não estão necessariamente cientes dos riscos contra a segurança e não possuem ferramentas ou conhecimento para tomar contramedidas.

Classificando Ameaças Ataques Passivos Acesso não-autorizado ao tráfego de rede entre navegador e servidor. Obtenção de acesso a informações em um site, que deveria ser restrito. Ataques Ativos Simulação de outro usuário. Alteração de mensagens em trânsito entre cliente e servidor. Alteração de informações em um site.

Classificando Ameaças Local da ameaça Servidor Web Navegador Web Tráfego de rede entre navegador e servidor. Segurança de Sistema de Computador Questões de segurança de navegador e servidor.

Técnicas de Segurança de Tráfego na Web IP Security (IPSec) Transparente para usuários finais e aplicações. Oferece uma solução de uso geral. Inclui capacidade de filtragem pela qual somente o tráfego selecionado precisa ser submetido à etapa adicional do processamento IPSec. Atua na camada de rede.

Técnicas de Segurança de Tráfego na Web Secure Socket Layer (SSL) TLS (Transport Layer Security) Podem ser fornecidos como parte do conjunto básico de protocolos e, portanto, transparente às aplicações. SSL pode ser embutido em pacotes específicos: navegadores e de servidores Web.

Técnicas de Segurança de Tráfego na Web Caso não seja, existe, por exemplo, o OpenSSL, que pode ser instalado, facilmente, junto ao servidor Web. Por exemplo: Instale o Apache (servidor Web) e o integre com o OpenSSL.

Serviços de Segurança na Aplicação Os serviços de segurança específicos de aplicação (GnuPG, PGP, S/MIME, Kerberos, SET, ... ) são embutidos (integrados) na aplicação específica. Vantagem: é que o serviço é ajustado às necessidades específicas de cada aplicação.

Ameaças e Ataques impedidos pelo SSL Ataque Cripto-Analítico por força bruta. Um teste de todas as chaves possíveis para um algoritmo de criptografia convencional.

Ameaças e Ataques impedidos pelo SSL Ataque de Dicionário com texto claro conhecido. Muitas mensagens terão texto claro previsível, como o comando GET do HTTP. Um atacante pode criar um dicionário contendo cada criptografia possível da mensagem de texto claro conhecido.

Ameaças e Ataques impedidos pelo SSL Quando uma mensagem criptografada é interceptada, o atacante apanha a parte contendo o texto claro conhecido criptografado e pesquisa o texto cifrado no dicionário. O texto cifrado deverá ser igual a uma entrada criptografada com a mesma chave secreta. Se for igual a mais de uma, cada uma delas pode ser experimentada em relação ao texto cifrado completo para determinar a entrada correta. Esse ataque é eficaz quando o tamanho da chave é pequeno (40 bits).

Ameaças e Ataques impedidos pelo SSL Ataque por Repetição Mensagens de estabelecimento de conexão SSL anteriores podem ser repetidas.

Ameaças e Ataques impedidos pelo SSL Ataque de Homem ao Meio (Man-in-the-Middle) Um atacante se interpõe durante a troca de chave, atuando como cliente perante o servidor e como servidor perante o cliente.

Ameaças e Ataques impedidos pelo SSL Sniffing de Senha Quando as senhas em HTTP ou outro tráfego de aplicação são interceptadas sem autorização.

Ameaças e Ataques impedidos pelo SSL IP Spoofing (Falsificação de IP) Quando um atacante usa endereços de IP forjados para enganar a um host para aceitar dados falsos.

Ameaças e Ataques impedidos pelo SSL Sequestro de IP (IP Hijacking) Uma conexão ativa, autenticada entre dois hosts é interrompida e o atacante toma o lugar de um dos hosts.

Ameaças e Ataques impedidos pelo SSL Inundação de SYN (SYN Flooding) Um atacante pode enviar mensagens SYN do TCP para solicitar uma conexão, mas não responde à mensagem final para estabelecer a conexão totalmente. O módulo TCP atacado, normalmente deixa a conexão “meia aberta” por alguns minutos. As mensagens SYN repetidas podem congestionar o módulo TCP.

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.