Inhalt
Integrationslösungen auf Basis von WebServices sind ein vielversprechender und immer stärker gegangener Weg. Gerade die lose Kopplung stellt hohe Anforderungen an die Sicherheit der entstehenden Lösung. Im WebServices-Umfeld sprießen viele Standards, die versuchen, auf dieser Ebene eine Integration möglich zu machen.
Dieses Seminar fokussiert sich auf die sicherheitsrelvanten Standards im WS-Dschungel und deren korrekter Anwendung. Durch die vielen praktischen Übungen haben Sie danach das Handwerkszeug in der Hand, eigene Entwicklungen mit standardisierten Mitteln abzusichern.
Wir starten mit der grundlegenden Terminologie (z.B. was unterscheidet einen Public Key von einem Zertifikat? Was ist ECC?), werden dann über die verschieden kryptographischen Verfahren (wie z.B. Verschlüsseln, digital Signieren) über deren Anwendung auf XML Inhalte zu den WebServices relevanten Standards kommen.
Begleitet wird das ganze immer wieder durch Übungen, in denen z.B. ein XML-Dokument signiert, abgesicherte SOAP-Services aufgesetzt und Authorisierungsregeln durchgesetzt werden. Wir gehen dabei auf typische Fallstricke prinzipieller Art aber auch verursacht durch die unterschiedlichen Implementierungen ein.
Die Übungen werden in Java mit Axis2, Apache XML Security und SUN XACML Engine durchgeführt.
Folgende Themen sind Inhalt der Schulung:
- Einführungsspiel / Ohrenöffner
- Verschlüsseln und Code brechen
- Terminology
- symmetische vs. asymmetrische Verschlüsselung
- symmetrisch: Explosion der Schlüsselanzahl, nur verschlüsseln
- asymmetrisch: taugt für verschlüsseln + signieren, RSA vs. ECC - Hashalgorithmen
- Digitale Signatur
- PKI o X.509
- Hands-on example (API kennenlernen)
- Text digital signieren und Signatur überprüfen
- Text verschlüsseln und entschlüsseln mit symmetrischen und hybridem Verfahren
- Pitfalls z.B. zwischen SUN JCE und BouncyCastle
- XML Security o XML (weiss jeder, was ein Namespace ist?)
- XML Schema
- XMLDSig
- XMLEnc
- Hands-on mit Apache XMLSecurity library
- digitale Signatur eines XML Dokuments (kennt jeder grob die DOM-Api? XML Infoset?)
- Pitfalls z.B. mit XPath Expressions für References („what you [don’t?] see is what you sign”)
- WebService relevante Standards
- Szenarien
- Überblick und Zusammenhänge der WS-*, SAML
- Reifegrad der einzelnen Spezifikationen und mögliche Implementierungen
- WS-Security: Verwendung von XMLDSig, XMLEnc, UsernameToken, Einbettung in SOAP Header
- WS-Trust: Federationsszenarien, Übersetzung von einer Security-Domain in die andere
- Hands-on mit Axis2 + Rampart
- WebService absichern mit PKI-Authentisierung
- Pitfalls (z.B. replay-Attacken, wenn Body+Header nicht durch eine Signatur verbunden werden)
- Authorization / Access Control
- General pattern: PEP/PDP
- Type vs. instance-based Access Control
- XACML
- Hands-on Autorsierung mit SUN XACML Engine
- Eigene Policy schreiben
- evtl. eigenen Handler implementieren
