1

Segurança na Web

Principais problemase soluções

2

Tipos de ataques

DefacementAlteração de elementos do site da Internet

SpamEnvio não solicitado de correio com intuito comercial

SpoofingSubstituição de IP para esconder a proveniência do ataqueInstalação de Cavalo de Troia, para facilitar o acesso continuado

3

Tipos de ataques (2)

DoS – Denial of serviceNegar acesso aos serviços normais da redeFlood pings – para aumentar o tráfego de InternetMail bombing – envio de muitas mensagens de correio de grande dimensão

TCP Syn Scan – Spoofing do endereço do remetente do SYN. O ACK é realizado para um IP diferente que nunca responde

DDoS – Distributed Denial of Service – operações coordenadas de ataque

4

Terminologia de segurança

Autenticação Quem sou – através de password ou outros mecanismos como:

Certificados DigitaisSecurID por HardwareTecnologias Biométricas – voz, impressão digital

AutorizaçãoPermitir ou não acesso a serviços

Integração com a autenticação e pressupõe responsabilização

5

Terminologia de segurança (2)

IntegridadeValidação dos dados de uma determinada origem como não tendo sofrido alteração

Utilização de algoritmos de validação para detectar a integridade

EncriptaçãoTransformação dos dados para permitir a confidencialidade do originalO reverso é a desencriptação que permite recuperar os dados originais

6

Chaves de segurança

Symmetric Key CriptoghraphyCriptografia e a utilização de chaves idênticas em ambos os ladosTransmissão das chaves através de transmissão diferente - out of band

Certificados X.509Documentos electrónicos que ligam a informação a uma determinada chave públicaExigem certificação por uma entidade externaAs empresas podem ser certificadas para certificarem os seus empregados

7

SET vs. SSL

Diferenças e similitudes

8

SSL: Transacções encriptadas

Por quê encriptar?Princípios dos sistemas de encriptaçãoPerceber a gestão de certificados

9

Porquê encriptar? CONFIANÇA!

Garanta que o seu cliente está autorizado a utilizar a sua contaO cliente quer garantir que você é o vendedor legítimo Garanta que o pagamento é recebido Garanta que as mercadorias são recebidas

10

Passos na criação de certificado SSL

Selecciona-se uma Autoridade Certificadora (CA) para utilizar e preenchem-se os formulários e paga-se CA verifica a informação fornecidaCA cria um certificado contendo a chave pública e a data de expiração O certificado é guardado no vosso Servidor web

11

Hierarquia de confiança para a emissão de certificados

Visa e MasterCard designarão ou tornar-se-ão CAsOs comerciantes confiarão nestas entidades emissoras ou nos seus bancos Os portadores de cartões de crédito obterão certificados dos CA dos seus bancos e guardá-los-ão na sua carteira electrónica

12

Exemplos de Autoridades Certificadoras

VeriSignwww.Verisign.com

GTE CyberTrust Solutions, Inc.www.cybertrust.gte.com

Thawte Consultingwww.thawte.com

Certipor em Portugal?

13

Criação de Certificados

Demonstração da geração de certificados

14

Certificados de servidor da Verisign

www.verisign.com/server/prodDiferentes funcionalidades, com preços de $349 a $1295/anoOferecem diferentes garantias e níveis de encriptação

15

Gestão de Certificados

Depois de serem emitidas as chaves públicas dos certificados devem ter a sua integridade mantida

Têm datas de expiraçãoPodem ser revogados por algumas razões Após expirarem os certificados devem ser renovados e reemitidos Estas são as considerações relativamente a utilizarem uma CA externa por oposição a uma CA interna

16

Como é isto feito?

Browsers e servidores segurosCapazes de uma forte encriptação (até 128 bit)A encriptação de 40 bit já não é considerada adequada para transacções financeiras

Certificados digitaisVerifica a identidade do proprietário do certificadoTambém denominadas IFDs

O protocolo mais utilizado hoje é a Secure Socket Layer (SSL)

17

Secure Sockets Layer (SSL)Autentica o servidor comercial

O certificado comercial é obtido de umas entidade certificadora autorizada

Oferece privacidade através da encriptação da mensagem entre o remetente e o destinatário

O “tubo” seguro negoceia a encriptação máxima compatível entrem o browser e o servidor para cada mensagem transmitida

Assegura a integridade dos dados transmitidos

Verificação da autenticidade da mensagem (algoritmo)

18

Secure Sockets Layer Protocol (SSL)

https:// no URL = uma ligação seguraSSL permite aos clientes verificarem quem o fornecedor éA identidade digital do comerciante não certifica a sua integridade

O certificado comercial (Digital ID) pode ser visto em qualquer browser seguro

19

Secure Sockets Layer Protocol (SSL)

Ordem do cliente com informação de pagamento

Envio encriptado da ordem

A ordem é desencriptadano servidor do fornecedor

20

O que não é encriptado na SSL

Logo que os dados chegam ao servidor do fornecedor podem ser guardados numa localização insegura!Se alguém tem acesso físico ao servidor

21

Força da encriptação

Não é permitida a exportação de produtos americanos com encriptação superior a 40 bitsNão é ilegal utilizar internacionalmente encriptação superior a 40 bitsAs instituições financeiras não consideram adequada a encriptação de 40-bit para transacções na Internet

22

Força da encriptação

Os novos browser e o software dos servidores são capazes de encriptação a 128-bitA encriptação de 128-bit é exponencialmente mais forte que a de 40-bit

23

Firewalls em geral

24

O que são?

É um ponto único entre duas redes através do qual deve passar todo o tráfegoAtravés dele o tráfego é controlado e muitas vezes autenticadoTodo o tráfego é registado

Os primeiros firewalls foram evidentemente construídos em routers

25

Tipos de Firewall

Bastion host

26

Tipos de Firewalls

Packet Filtering

27

Evolução

De Routers a Gateways aplicacionaisAté aos firewalls híbridos de hoje, com serviços para propósitos diferentes apesar de aparentemente complementaresA segurança e a complexidade são muitas vezes inversamente proporcionais

28

Serviços de rede

FirewallSistema base para outros serviços de networking e segurança

AdiçõesAutenticaçãoEncriptaçãoQoSVerificação de conteúdo

29

Autenticação

Autenticação ao nível do utilizadorControle de acessos e verificação de acessos externos a este nível

30

Encriptação

Firewall a Firewall e de Firewall para utilizadores móveisVPN e confidencialidade da informaçãoOs dispositivos de VPN devem funcionar de forma integrada com os Firewalls

31

QoS – Qualidade de serviço

Determinação de quotas de utilização do gatewayPor serviçoPor actividadeEsta é uma usurpação da actividade normal do routerPermite o registo de actividades afectando a QoS

32

Verificação de conteúdo

Inclui anti-virus, filtro de Uniform Ressource Locator e chega ao filtro por palavras chave do correio externoDefesa à chegada e diminuição de performance na maioria dos casos

33

First thing first

Quanto mais funções se adicionam ao firewall mais podem funcionar malEvolução recente

Firewalls adaptativos – ligam em série diferentes serviços, filtros, gateways e proxies

Administração mais eficiente

Firewalls reactivos – ligação com a detecção da intrusão e produtos de help desk.

Evolução deve caminhar para aumento da segurança

34

Load Balancing, Web Switches e Redirectors

Cisco Local DirectorNetwork Engines’ Cluster Control

Arrowpoint's Content Smart Alteon WebSystems

Foundry Networks Server IroniPivot’s Commerce Accelerator

35

Como trabalham?

Instalados entre o router e o web serverPor vezes obrigam à reconfiguração de routers ou proxy serverAlguns incluem caching ou serviços de proxyNa realidade são switches de layer 4 (transporte UDP) que examinam os pacotes de conteúdo webGerido através do browser

36

37

Funcionalidades avançadas

Arrowpoint ignora os items que não podem ir para a cache Cisco realiza load balancing do servidor de aplicações e load balancing do domínioNetwork Engines' ClusterControl realiza a replicação de conteúdo webiPivot usa inline crypto para realizar melhor SSL

38

Questões

PerformanceTempo geral de respostaSegurançaConfiançaMais informação, veja

www.nwc.com/913/913r2.html

39

Tendências

Os preços destes produtos vão continuar elevadosA concorrência está nos Providers de conteúdo distribuído

40

Obrigado pela atenção