Visão Geral

Neste Curso Web Security Foundations, os alunos aprenderão a aprimorar a segurança em servidores web. Os alunos irão experimentar diferentes tipos de vulnerabilidades e as tecnologias necessárias para minimizar a exposição do Web Server. Tópicos como criptografia, certificados digitais, infraestrutura de chave pública (PKI), segurança de serviços e aplicativos, spyware / malware, monitoramento de rede e configuração básica de firewall / servidor proxy serão discutidos e praticados.

Publico Alvo

• Gerentes que precisam entender como a segurança afeta as plataformas do servidor Web em redes corporativas.
  
• Administradores de segurança,
• Administradores de sistema,
• Administradores de rede,
• Desenvolvedores da Web

Pre-Requisitos

• Experiência com gerenciamento de sistema operacional Windows, UNIX ou Linux
• Experiência com Internet Information Server ou Apache
• Capacidade de ler / escrever HTML básico

Materiais

Conteúdo Programatico

Fundamentos de segurança

1. Áreas de segurança: sistema operacional, serviços, aplicativos locais e de rede, protocolos de rede
2. Workshop: quão boa é a segurança out-of-the-box? Testando com Nessus e NMAP
3. Primer de criptografia: algoritmos simétricos, assimétricos e de hash
4. Certificados digitais e infraestrutura de chave pública
5. Workshop: Workshop de assinatura digital e criptografia

Instalando um Servidor Web

Internet Information Server

1. Apache Web Server
2. Workshop: Instalando o Internet Information Server ou Apache
3. Testando a Segurança do Servidor Web
4. Configurar registro de acesso
5. Workshop: quão boa é a segurança out-of-the-box? Testando com Nessus e NMAP

Segurança do sistema operacional

1. Serviços do sistema: mapeamento para executáveis / processos / uso da porta
2. Workshop: Removendo serviços não essenciais
3. Autenticação entre o servidor web e o sistema operacional
4. Segurança do servidor da Web para o sistema de arquivos
5. Workshop: Estabelecendo Servidor Web para Segurança de Sistema Operacional

Segurança de rede

1. Monitorando sua rede
2. Uso de porta comum e identificação de aplicativo
3. Workshop: Monitoramento de Rede com Ethereal
4. Defendendo um servidor web com um firewall
5. Demonstração: Configuração de um firewall para defender um servidor web
6. Defendendo um servidor web com um servidor proxy
7. Workshop: Configurar um servidor proxy de software para defesa

Compreendendo a comunicação entre navegador e servidor web

1. Monitorando o acesso do aplicativo
2. Workshop: Vendo todos os arquivos usados pelos aplicativos
3. Segurança do navegador da Web (Internet Explorer, Netscape e Firefox)
4. Componentes ativos apresentados por meio de navegadores da web
5. Workshop: Definindo e controlando a configuração do navegador da web
6. Malware / Spyware
7. Workshop: Detecção e remoção de malware / spyware

Protegendo Servidores Web com Criptografia

1. Secure Sockets Layer (SSL) e Transport Layer Security (TLS)
2. Autoridades de certificação (CA) e infraestrutura de chave pública (PKI)
3. Usando SSL / TLS em um servidor web
4. Workshop: Solicitando um Certificado Digital de uma CA e Habilitando SSL / TLS
5. Distribuindo confiança em uma empresa
6. Instalando uma Autoridade de Certificação
7. Workshop: Instalar uma autoridade de certificação raiz e emitir certificados

Processamento de dados em um servidor web

1. Noções básicas sobre tecnologias para processamento do lado do servidor
2. Examinando os riscos de CGI, ASP, inclusões do lado do servidor e outros scripts do lado do servidor
3. Workshop: Implementar scripts do lado do servidor
4. Técnicas para codificação segura da web
5. Execução de componentes ativos em servidores web
6. Conectando Bancos de Dados a Servidores da Web
7. Workshop: Estabelecer uma Conexão de um Servidor Web a um Banco de Dados Back-End

Juntando tudo

1. Revisão dos principais conceitos
2. Workshop: Auditar e proteger um servidor da Web

 Os participantes serão apresentados a um servidor Windows 2003 executando IIS ou um servidor Linux executando Apache com vários problemas de segurança. Os alunos devem reparar os problemas com sucesso e minimizar as vulnerabilidades de segurança.