Seguridad DEL Servicio WEB- Vulnerabilidades Y Amenazas Dentro DEL Contexto DE WS- Security (Resumen) PDF

Preview

Summary

Download Seguridad DEL Servicio WEB- Vulnerabilidades Y Amenazas Dentro DEL Contexto DE WS- Security (Resumen) PDF

Description

SEGURIDAD DEL SERVICIO WEB-VULNERABILIDADES Y AMENAZAS DENTRO DEL CONTEXTO DE WS-SECURITY INTRODUCCIÓN. Los servicios web son importantes porque representan un cambio fundamental en la manera en que se desarrollan y despliegan las aplicaciones. Aun así, los verdaderos beneficios del uso de los servicios web aún están por llegar, y algunos desafíos y problemas deben abordarse primero. Los ejemplos son: estándares (inmaduros e incompletos), interoperabilidad (el software no se ocupa de estándares enteros y se hacen muchas promesas no comprobadas), qué nuevas oportunidades de lanzamiento (nuevos mercados y / o clientes), falta de conocimiento y habilidades apropiadas (trabajadores no están familiarizados con el trabajo utilizando la tecnología de servicios web) y los desafíos legales y financieros). Muchos problemas y desafíos, sin embargo, tratan de una forma u otra con la seguridad. No poder alcanzar un nivel de seguridad suficiente y satisfactorio es, de hecho, lo que impide que muchas organizaciones adopten Servicios web en la actualidad. SERVICIO WEB En la actualidad, los servicios web aún tienen una serie de problemas con los que lidiar. Si los servicios web van a ofrecer el valor que prometen, se deben abordar los desafíos mencionados en la introducción. Los dos desafíos principales están, en primer lugar, relacionados con los estándares y, en segundo lugar, relacionados con la interoperabilidad. PROBLEMAS DE SEGURIDAD EN SERVICIOS WEB. Seguridad de la Información (almacenamiento y transito) requisitos: • Confidencialidad. (transito) • Integridad. (no modificable y ni retransmitida) • Sin Repudio. (no pueden negar inferencia en transición) • Autenticación. (Identificación) • Autorización. (acceso a recursos) • Disponibilidad. (accesible a usuarios) AMENAZAS Y DESAFÍOS EN LOS SERVICIOS WEB. • Modelo OSI (Capas o Estructura)

• • • • • • •

Numero de capa Nombre de capa Tecnología de Servicio Web 7 Aplicación HTTP, SMTP, SOAP 6 Presentación Datos encriptados. 5 Sesión POP, SSL 4 Transporte TCP, UDP 3 Red Paquetes IP 2 Enlace de Datos PPP, 802.11 etc. 1 Físico ADSL, ATM etc. Mantenimiento de la seguridad durante el enrutamiento entre múltiples servicios web. Acceso no autorizado. Manipulación de parámetros / Entrada maliciosa. Escucha de red y reproducción de mensajes. Denegación de servicio (DoS). Anulación de Cortafuegos. Inmadurez de la plataforma.

WS-SECURITY WS-security se estableció como estándar en abril de 2004. Es la principal alternativa para los problemas de seguridad en los servicios web en este momento. La especificación WS-Security agrega seguridad a los mensajes SOAP al describir cómo la parte del encabezado del mensaje puede usarse para transmitir información de seguridad. BÁSICO DEL ESTÁNDAR WS-SECURITY Estructura SOAP Agrega seguridad a los mensajes SOAP al describir como la parte del encabezado del mensaje puede utilizarse para transmitir información de seguridad. (Ofrecer formato común para la seguridad en un mensaje SOAP). • Tokens de Seguridad. Son artefactos de seguridad incluidos en un mensaje de SOAP, que se utilizaran para autentificación y autorización. • XML Encryption. Es una especificación desarrollada por la W3C, permite la confidencialidad de los mensajes al ocultar información en los mensajes SOAP. • XML Signature. Se utiliza con dos propósitos principales para verificar que el mensaje no haya sido alterado o modificado durante la transmisión. La verificación de las credenciales (Firma en combinación de un certificado, W3C). WS-SECURITY ROADMAP La capa de base SOAP consta de tecnologías básicas como SOAP, WSDL, firma XML, encriptación XML y SSL / TLS. Estos son aprovechados por la especificación WS-Security. Algunas de las especificaciones futuras basadas en WSSecurity son: • WS-Policy. Detalla las capacidades y restricciones con respecto a la seguridad, qué tipo de algoritmo de cifrado admite y qué parámetros deben cifrarse. • WS-Trust. Describe la creación de relaciones de confianza directas o segmentadas respecto a la autenticidad y autorización. • WS-Privacy. Permite a un proveedor de servicios expresar su política con respecto a cuestiones de privacidad y solicitar que las solicitudes entrantes especifiquen la adhesión del remitente a esta política utilizando una combinación de otras especificaciones, incluidas WS-Policy, WSSecurity y WS-Trust • Conversación segura de WS. Se establece para permitir la creación de sesiones que abarcan varios mensajes SOAP sin tener que evaluar la autenticación y la autorización de cada mensaje entrante (No admite sesiones que puedan generar problemas de rendimiento). • Federación WS. Describirá cómo se debe llevar a cabo la intermediación entre las partes, si es necesario traducir los datos relacionados con la seguridad entre las partes involucradas. (opera en una capa por encima de WS-Policy y WS-Trust). • Autorización WS. Describirá cómo deben representarse las reivindicaciones en tokens y cómo deben interpretarse estos tokens en el extremo....