Saltar para o conteúdo

Usuário(a):Yannara/Testes

Origem: Wikipédia, a enciclopédia livre.

http://www.spqr-ti.com/home/mecanismos-de-seguranahttp://technet.microsoft.com/pt-br/library/dd569900.aspx DE MECANISMOS DE SEGURANÇA Introdução

O suporte para as recomendações de segurança encontra-se em:

Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infra-estrutura(que garante a existência da informação) que a suporta.Existem mecanismos de segurança que apóiam os controles físicos: Portas / trancas / paredes / blindagem / guardas / etc ..

Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado. Existem mecanismos de segurança que apóiam os controles lógicos:


Características: Mecanismos de criptografia: Permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração.

Assinatura digital: Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade do documento associado, mas não a sua confidencialidade.

Mecanismos de garantia da integridade da informação. Usando funções de “Hashing” ou de checagem, consistindo na adição.

Mecanismos de controle de acesso: Palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.

Mecanismos de certificação: Atesta a validade de um documento.

Integridade: Medida em que um serviço/informação é genuíno, isto é, está protegido contra a personificação por intrusos.

Honeypot: É o nome dado a um software, cuja função é detectar ou de impedir a ação de um cracker, de um spammer, ou de qualquer agente externo estranho ao sistema, enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema.

Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados aqui

Existe hoje em dia um elevado número de ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos são os detectores de intrusões, os anti-vírus, firewalls, firewalls locais, filtros anti-spam, fuzzers, analisadores de código, etc.

Segurança em Java

A tecnologia de segurança Java inclui um grande conjunto de ferramentas, APIs, protocolos e mecanismos de segurança. Incluem criptografia, infraestrutura de chave pública, comunicação, autenticação e controle de acesso. Tanta é a riqueza que para descrever o uso de cada uma delas tornaria o artigo mais extenso. Qualquer fraude que resulte em perda de dados pessoais (endereço, senhas, informações bancárias e outros) é um problema sério de segurança de aplicação. Acesso não autorizado de informação pessoal que é sigilosa e restrita a pessoas tem com intenção prejudicar ou enriquecer alguma das partes. Discutir sobre esse assunto é importante para refletir questões que somente tomamos conhecimento quando estão sendo abordados em mídias (televisão e jornais) e que ficamos preocupado depois do fato ter acontecido. Discutir sobre esse assunto é importante para refletir questões que somente tomamos conhecimento quando estão sendo abordados em mídias (televisão e jornais) e que ficamos preocupado depois do fato ter acontecido. Por que preciso me preocupar com aplicações seguras? Alguns dos motivos para se preocupar com segurança de aplicações Web: • 75% dos ataques acontecem na camada de aplicação (Gartner) • 90% dos sites estão vulneráveis a ataques (Watchfire) • 80% das organizações irão experimentar um incidente de segurança (Gartner) • Dados de clientes, cartões e outros podem ser obtidos em alguns ataques • Roubo de identidade • Violação de privacidade • Sua empresa e seu cliente podem ter a imagem desgastada e alto prejuízo financeiro Muitas vezes, as aplicações permitem ataques por falta de conhecimento e mau uso da tecnologia no desenvolvimento do software. Mesmo com a existência de um firewall, é necessário que os desenvolvedores de TI se preocupem com detalhes de segurança para não PE rmitir esse tipo de falha. Alguns tipos de vulnerabilidades permitidas em aplicações Web: 1. X-Site scripting 2. Injection Flaws 3. Insecure Direct Object Reference 4. Malicious File Execution 5. Cross Site Request Forgery (CSRF) 6. Armazenamento Criptográfico Inseguro 7. Comunicação insegura 8. Tratamento de Erros inapropriados 9. Falha de restrição de Acesso a URLs. Não é tão incomum quanto parece encontrar aplicações com falhas básicas de segurança, como armazenamento de senhas em banco de dados sem criptografia. Mesmo que seja de conhecimento geral que nenhum sistema seja 100% seguro, é possível minimizar os riscos e aumentar o nível de segurança nas aplicações Java. Para a alegria dos desenvolvedores que trabalham com a linguagem da Oracle, há um grande número de ferramentas e APIs, diminuindo muito o número de ataques quando bem utilizadas. Algumas ferramentas e bibliotecas podem dificultar o acesso do seu possível atacante: Funcionalidade: Plataforma Objetivo: Construir funcionalidade de segurança na linguagem no compilador e na máquina virtual (Tipagem de dados forte, gerênciamento automático de memória, verificacação do bytecode) Benefício: Provém uma plataforma confiável e segura para desenvolver e executar aplicações. API/Ferramenta: A especificação da linguagem Java

Funcionalidade: Criptografia Objetivo: Suporte aos algoritmos padrões incluindo RSA, DAS, AES, Triple DES, SHA, PKCS#5, RC2 e RC4. Suporte ao token PKCS#11 Benefício: Implementação do algoritmo independente API/Ferramenta: JCA e JCE

Funcionalidade: Autenticação e controle de acesso Objetivo: Abstrai APIs de autenticação que podem ser incorporadas em mecanismos de “login” em uma arquitetura “plugável”. Uma API de política e permissões que permitem o desenvolvedor criar e ao administrador gerenciar acesso a aplicação. Benefício: Permite autenticação single sing-on API/Ferramenta: Java Security Architecture, Java Authentication and Authorization Service (JAAS), Policy Implementation and Syntax e Signature Timestamp Support A autenticação é o processo para determinar a identidade do usuário. Em Java, podemos realizar esse processo por configuração do servidor de aplicação.


O processo de autenticação do usuário por senha, porém somente o “login” na aplicação não é suficiente para o nível de segurança. O acesso a cada página ou URL da aplicação deve conter um perfil associado, o qual poderá ou não acessá-lo. Outro ponto: Sempre verificar se a sessão inicializada no “login” da aplicação continua válido. Definir um tempo máximo para invalidar a sessão é um processo importante, pois o usuário pode deixar a aplicação em execução e não realizar nenhuma operação. Quando esse tempo, definido em configuração da aplicação, acontecer, automaticamente o usuário deverá ser obrigado a realizar o “login” na aplicação. Invalidar a sessão no momento de realizar uma saída “logout” na aplicação é obrigatório, além de beneficiar o servidor de aplicação realizando uma limpeza dos objetos que estavam armazenados na sessão do usuário.

Funcionalidade: Segurança de comunicação Objetivo: APIs e implementações para os seguintes padrões de protocolo de comunicação de segurança: TLS, SSL, Kerberos e SASL. Completo suporte para HTTPS sobre SSL/TLS também está incluso.

Benefício: Autentica pontos sobre redes inseguras e protege a integridade dos dados transmitidos API/Ferramenta: JSSE, Java GSS-API e Java SASL API

Funcionalidade: Chave pública (PKI) Objetivo: Ferramenta para gerenciar certificado e chaves, com suporte para os seguintes algoritmos (CRLs) X.509, PKIX, OCSP, PKCS#11, PKCS#12, LDAP e java.util.Collection

Benefício: Facilita o desenvolvimento da complexidade de PKI. API/Ferramenta: X.509, Java CertPath API, On-Line Certificate Status Protocol e Java PKCS#11 Escrever aplicações utilizando segurança permite ao desenvolvedor implementar sistemas mais seguros, assim como a administradores gerenciá-las, restringindo acessos e autorizações ao sistema. Levando em consideração esses aspectos discutidos no artigo, é inevitável de entrega e a utilização de uma aplicação mais segura. Deixo aqui as seguintes questões: Qual cliente gostaria de que informações bancarias, CPF ou endereço fosse de conhecimento por pessoas não autorizadas? O site que você está realizando compras on-line, armazena informação de seu cartão de crédito? Quem garante que essa informação não está criptografada? Será que um funcionário da empresa, sem boas intenções, não poderia utilizar de seu cartão para realizar uma compra? Espero ter despertado o interesse do leitor a procurar e evitar negligenciar esse assunto polêmico.

Logon de rede

O serviço Logon de rede mantém um canal seguro entre seu computador e o controlador de domínio que ele utiliza para autenticar usuários e serviços. Ele passa credenciais de usuário pelo canal seguro a um controlador de domínio e retorna os identificadores de segurança de domínio e direitos do usuário, o que normalmente é chamado de autenticação de passagem. O serviço é instalado em todos os computadores Windows Server 2003 e Windows XP, e seu tipo de inicialização é configurado como Manual. Depois que o computador entra em um domínio, o serviço é iniciado automaticamente.

Nas famílias Windows 2000 Server e Windows Server 2003, o serviço Logon de rede publica registros de recursos do serviço no DNS, utilizando-o para correlacionar nomes aos endereços IP dos controladores de domínio. O serviço também implementa o protocolo de duplicação com base na RPC (Chamada de Procedimento Remoto) para sincronizar os PDCs (Controladores de Domínio Primário) do Windows NT 4.0 com BDCs (Controladores de Domínio de Backup).

Se o serviço Logon de rede parar, o computador poderá não autenticar usuários e serviços, e o controlador de domínio não poderá efetuar registros de DNS. Especificamente, ele pode negar solicitações de autenticação de NTLM, e os controladores de domínio não poderão ser descobertos por computadores clientes. Compartilhamento remoto da área de trabalho NetMeeting

O serviço Compartilhamento remoto da área de trabalho NetMeeting permite a usuários autorizados acessar remotamente suas áreas de trabalho Windows com o aplicativo Microsoft NetMeeting® de outro computador pessoal por uma intranet. O serviço está instalado e desativado por padrão. Ele deve ser explicitamente ativado pelo usuário por meio do NetMeeting, e pode ser desativado no NetMeeting ou encerrado por meio de um ícone da bandeja do Windows.

Se o serviço Compartilhamento remoto da área de trabalho NetMeeting parar ou se você desativá-lo, o driver de exibição do NetMeeting será descarregado e o computador não será capaz de fornecer acesso remoto à sua área de trabalho. Conexões de Rede

O serviço Conexões de rede está instalado por padrão em computadores com Windows Server 2003 e Windows XP. Este serviço gerencia objetos na pasta Conexões de rede, da qual você pode ver tanto conexões de rede como remotas. Este serviço é responsável pela configuração de rede de cliente e exibe o status da conexão na área de notificação na barra de tarefas. Você também pode exibir e definir configurações de interface de rede por este serviço.

O serviço Conexões de rede será iniciado automaticamente quando o tipo de inicialização for Manual e a interface de Conexões de rede for chamada. Se este serviço parar, a configuração do lado do cliente de LAN, discagem e conexões de VPN estarão indisponíveis. Se você desativar este serviço, poderá ocorrer o seguinte:

As conexões não serão exibidas na pasta Conexões de rede, o que impedirá o acesso discado e a configuração de parâmetros de LAN.

Outros serviços que usem Conexões de rede para verificar a existência de Diretivas de grupo que reconhecem Locais de rede não funcionarão corretamente.

Os eventos relativos a conexões e desconexões de mídias não serão recebidos. O compartilhamento de conexão com a Internet não funcionará corretamente. Não será possível configurar a recepção de conexões, parâmetros sem fio ou a sua rede doméstica. Não serão criadas novas conexões. Todos os serviços que dependem explicitamente desse serviço não serão iniciados.

Obtida de "https://pt.wikipedia.org/w/index.php?title=Usuário(a):Yannara/Testes&oldid=37248527"