¿Demostración de seguridad de Internet de TLS para personas comunes?

Question

¿Demostración de seguridad de Internet de TLS para personas comunes?

#1 de schroeder (7 votos)
#2 de Overmind (2 votos)
#3 de camp0 (-1 votos)
#4 de securityOrange (-1 votos)

2

Estoy tratando de planear una demostración para mis jóvenes estudiantes sobre SSL / TLS y cómo funciona HTTPS. ¿Hay alguna herramienta para ayudar a mi propósito?

Los estudiantes serán adultos que no saben nada acerca de la seguridad de Internet. Por lo tanto, no busco un enfoque académico profundo del tema, sino un toque general que cubre aspectos como, qué es, cómo funciona y por qué es importante. En lugar de solo hablarles y presentárselos, me gustaría saber si también podría usar una herramienta o algo para demostrar prácticamente su uso.

tls

pregunta Rodotheos 07.11.2018 - 07:23

fuente

4 respuestas

Lea otras preguntas en las etiquetas tls

¿Es suficiente una conexión SSTP-VPN para ocultar mi tráfico de Internet? ¿Por qué mi cliente no debe enviar el nombre de usuario y la contraseña del usuario con cada solicitud?

score 7 · Answer 1

Haz lo que sea un "truco de magia". Configuración:

un servidor web con una página de inicio de sesión básica y una función de carga de archivos
una máquina cliente con un navegador web para que la use un estudiante
una máquina de rastreo

Haga que el usuario inicie sesión con cualquier nombre de usuario y una contraseña falsa, cree un archivo de Word (o similar) con un mensaje y cárguelo.

Use la máquina de rastreo para descubrir la contraseña, guardar el archivo de Word y leer el mensaje. Todo esto es programable en la máquina de olfateo.

Luego explica el truco de magia, les muestra la cadena de contraseña en la captura, luego activa TLS y les muestra el texto cifrado.

score 2 · Answer 2

Usé el sistema de correo electrónico para ese propósito.

Si hay un servidor / sistema de correo electrónico que puede usar con el puerto 25 y el puerto TLS, todo lo que necesita es una herramienta de captura de tráfico de red como Wireshark.

Cuando un usuario utilizará el cliente de correo electrónico para enviar / recibir correos electrónicos, primero deberá iniciar sesión en el servidor. Sin TLS, podrá ver su contraseña en texto sin formato. Con él, no lo harás. Verás contenido encriptado.

score -1 · Answer 3

Usaré básicamente dos herramientas para eso, la primera será una secuencia de comandos de Python muy fácil con las solicitudes del módulo que hacen una solicitud HTTP básica a un servidor conocido y capturan el tráfico. Los estudiantes verán qué pasa por el cable, después de eso cambiaré la solicitud HTTP a HTTPS y también capturaré el tráfico para que puedan ver las diferencias y usted pueda introducir TLS y así sucesivamente.

score -1 · Answer 4

Obviamente, hay toneladas y toneladas de recursos para este tipo de cosas, y muchos de ellos son probablemente lo que estás buscando. Dependiendo de los tipos de contenido que necesites, te recomiendo que revises 2 cosas específicas:

Este webcomic sobre HTTPS es visualmente agradable y altamente informativo, por lo que es una excelente manera de hacer que los conceptos de encriptación de tráfico sean accesibles para principiantes
Esta publicación de Desbordamiento de pila tiene muchos detalles interesantes. Al ser Stack Overflow, está orientado a ayudar a la comprensión, y podría tener buena información para comenzar

Como señaló @zaph, el cómic de HTTPS obtiene información errónea sobre cómo los navegadores presentan la existencia de una conexión HTTPS. Ver su comentario para más detalles. Todo el cómic no es inútil, obviamente, pero definitivamente me aseguraré de corregirlo en algún momento de tu presentación.