1 Segurança na Web Principais problemas e soluções.
Transcript of 1 Segurança na Web Principais problemas e soluções.
1
Segurança na Web
Principais problemase soluções
2
Tipos de ataques
DefacementAlteração de elementos do site da Internet
SpamEnvio não solicitado de correio com intuito comercial
SpoofingSubstituição de IP para esconder a proveniência do ataqueInstalação de Cavalo de Troia, para facilitar o acesso continuado
3
Tipos de ataques (2)
DoS – Denial of serviceNegar acesso aos serviços normais da redeFlood pings – para aumentar o tráfego de InternetMail bombing – envio de muitas mensagens de correio de grande dimensão
TCP Syn Scan – Spoofing do endereço do remetente do SYN. O ACK é realizado para um IP diferente que nunca responde
DDoS – Distributed Denial of Service – operações coordenadas de ataque
4
Terminologia de segurança
Autenticação Quem sou – através de password ou outros mecanismos como:
Certificados DigitaisSecurID por HardwareTecnologias Biométricas – voz, impressão digital
AutorizaçãoPermitir ou não acesso a serviços
Integração com a autenticação e pressupõe responsabilização
5
Terminologia de segurança (2)
IntegridadeValidação dos dados de uma determinada origem como não tendo sofrido alteração
Utilização de algoritmos de validação para detectar a integridade
EncriptaçãoTransformação dos dados para permitir a confidencialidade do originalO reverso é a desencriptação que permite recuperar os dados originais
6
Chaves de segurança
Symmetric Key CriptoghraphyCriptografia e a utilização de chaves idênticas em ambos os ladosTransmissão das chaves através de transmissão diferente - out of band
Certificados X.509Documentos electrónicos que ligam a informação a uma determinada chave públicaExigem certificação por uma entidade externaAs empresas podem ser certificadas para certificarem os seus empregados
7
SET vs. SSL
Diferenças e similitudes
8
SSL: Transacções encriptadas
Por quê encriptar?Princípios dos sistemas de encriptaçãoPerceber a gestão de certificados
9
Porquê encriptar? CONFIANÇA!
Garanta que o seu cliente está autorizado a utilizar a sua contaO cliente quer garantir que você é o vendedor legítimo Garanta que o pagamento é recebido Garanta que as mercadorias são recebidas
10
Passos na criação de certificado SSL
Selecciona-se uma Autoridade Certificadora (CA) para utilizar e preenchem-se os formulários e paga-se CA verifica a informação fornecidaCA cria um certificado contendo a chave pública e a data de expiração O certificado é guardado no vosso Servidor web
11
Hierarquia de confiança para a emissão de certificados
Visa e MasterCard designarão ou tornar-se-ão CAsOs comerciantes confiarão nestas entidades emissoras ou nos seus bancos Os portadores de cartões de crédito obterão certificados dos CA dos seus bancos e guardá-los-ão na sua carteira electrónica
12
Exemplos de Autoridades Certificadoras
VeriSignwww.Verisign.com
GTE CyberTrust Solutions, Inc.www.cybertrust.gte.com
Thawte Consultingwww.thawte.com
Certipor em Portugal?
13
Criação de Certificados
Demonstração da geração de certificados
14
Certificados de servidor da Verisign
www.verisign.com/server/prodDiferentes funcionalidades, com preços de $349 a $1295/anoOferecem diferentes garantias e níveis de encriptação
15
Gestão de Certificados
Depois de serem emitidas as chaves públicas dos certificados devem ter a sua integridade mantida
Têm datas de expiraçãoPodem ser revogados por algumas razões Após expirarem os certificados devem ser renovados e reemitidos Estas são as considerações relativamente a utilizarem uma CA externa por oposição a uma CA interna
16
Como é isto feito?
Browsers e servidores segurosCapazes de uma forte encriptação (até 128 bit)A encriptação de 40 bit já não é considerada adequada para transacções financeiras
Certificados digitaisVerifica a identidade do proprietário do certificadoTambém denominadas IFDs
O protocolo mais utilizado hoje é a Secure Socket Layer (SSL)
17
Secure Sockets Layer (SSL)Autentica o servidor comercial
O certificado comercial é obtido de umas entidade certificadora autorizada
Oferece privacidade através da encriptação da mensagem entre o remetente e o destinatário
O “tubo” seguro negoceia a encriptação máxima compatível entrem o browser e o servidor para cada mensagem transmitida
Assegura a integridade dos dados transmitidos
Verificação da autenticidade da mensagem (algoritmo)
18
Secure Sockets Layer Protocol (SSL)
https:// no URL = uma ligação seguraSSL permite aos clientes verificarem quem o fornecedor éA identidade digital do comerciante não certifica a sua integridade
O certificado comercial (Digital ID) pode ser visto em qualquer browser seguro
19
Secure Sockets Layer Protocol (SSL)
Ordem do cliente com informação de pagamento
Envio encriptado da ordem
A ordem é desencriptadano servidor do fornecedor
20
O que não é encriptado na SSL
Logo que os dados chegam ao servidor do fornecedor podem ser guardados numa localização insegura!Se alguém tem acesso físico ao servidor
21
Força da encriptação
Não é permitida a exportação de produtos americanos com encriptação superior a 40 bitsNão é ilegal utilizar internacionalmente encriptação superior a 40 bitsAs instituições financeiras não consideram adequada a encriptação de 40-bit para transacções na Internet
22
Força da encriptação
Os novos browser e o software dos servidores são capazes de encriptação a 128-bitA encriptação de 128-bit é exponencialmente mais forte que a de 40-bit
23
Firewalls em geral
24
O que são?
É um ponto único entre duas redes através do qual deve passar todo o tráfegoAtravés dele o tráfego é controlado e muitas vezes autenticadoTodo o tráfego é registado
Os primeiros firewalls foram evidentemente construídos em routers
25
Tipos de Firewall
Bastion host
26
Tipos de Firewalls
Packet Filtering
27
Evolução
De Routers a Gateways aplicacionaisAté aos firewalls híbridos de hoje, com serviços para propósitos diferentes apesar de aparentemente complementaresA segurança e a complexidade são muitas vezes inversamente proporcionais
28
Serviços de rede
FirewallSistema base para outros serviços de networking e segurança
AdiçõesAutenticaçãoEncriptaçãoQoSVerificação de conteúdo
29
Autenticação
Autenticação ao nível do utilizadorControle de acessos e verificação de acessos externos a este nível
30
Encriptação
Firewall a Firewall e de Firewall para utilizadores móveisVPN e confidencialidade da informaçãoOs dispositivos de VPN devem funcionar de forma integrada com os Firewalls
31
QoS – Qualidade de serviço
Determinação de quotas de utilização do gatewayPor serviçoPor actividadeEsta é uma usurpação da actividade normal do routerPermite o registo de actividades afectando a QoS
32
Verificação de conteúdo
Inclui anti-virus, filtro de Uniform Ressource Locator e chega ao filtro por palavras chave do correio externoDefesa à chegada e diminuição de performance na maioria dos casos
33
First thing first
Quanto mais funções se adicionam ao firewall mais podem funcionar malEvolução recente
Firewalls adaptativos – ligam em série diferentes serviços, filtros, gateways e proxies
Administração mais eficiente
Firewalls reactivos – ligação com a detecção da intrusão e produtos de help desk.
Evolução deve caminhar para aumento da segurança
34
Load Balancing, Web Switches e Redirectors
Cisco Local DirectorNetwork Engines’ Cluster Control
Arrowpoint's Content Smart Alteon WebSystems
Foundry Networks Server IroniPivot’s Commerce Accelerator
35
Como trabalham?
Instalados entre o router e o web serverPor vezes obrigam à reconfiguração de routers ou proxy serverAlguns incluem caching ou serviços de proxyNa realidade são switches de layer 4 (transporte UDP) que examinam os pacotes de conteúdo webGerido através do browser
36
37
Funcionalidades avançadas
Arrowpoint ignora os items que não podem ir para a cache Cisco realiza load balancing do servidor de aplicações e load balancing do domínioNetwork Engines' ClusterControl realiza a replicação de conteúdo webiPivot usa inline crypto para realizar melhor SSL
38
Questões
PerformanceTempo geral de respostaSegurançaConfiançaMais informação, veja
www.nwc.com/913/913r2.html
39
Tendências
Os preços destes produtos vão continuar elevadosA concorrência está nos Providers de conteúdo distribuído
40
Obrigado pela atenção