Schulung: Web Services Sicherheit

Sicherheit ist eine Voraussetzung für den Einsatz von Web Services in unternehmenskritischen Anwendungen. Dies gilt besonders, wenn externe Partner über Web Services angebunden werden.

Diese Schulung vermittelt Grundlagen der Sicherheit und deren Anwendung in einer Service orientierten Architektur. Web Services Standards wie WSS, SAML und WS-SecureConversation bilden den Schwerpunkt dieser Schulung. Auf die Behandlung der mathematischen Grundlagen wird zu Gunsten von Praxisbeispielen verzichtet.

In einer Übung setzt du selbst eine einfache Zertifizierungsstelle auf, mit der du Client- und Server Zertifikate ausstellen kannst. Zahlreiche weitere Übungen vermitteln wertvolle Praxiserfahrung z.B. beim Erstellen von Keystores oder dem Schützen von Web Services.

Security Grundlagen

  • Authentifikation, Authorisierung, Datenintegrität und Nichtablehnung
  • Grundbegriffe: Identität, Credentials, Claim, Token, ...

Grundlagen der Kryptographie

  • Digitaler Fingerabdruck, Hashfunktion und Digest
  • Anwendungen: Prüfsumme, Passwörter
  • Hashalgorithmen: SHA-1, SHA-256
  • Sicherheit von Hash Algorithmen
  • Symmetrische Verschlüsselung mit dem AES Algorithmus
  • Die Betriebsmodi: ECB, CBC und GCM
  • Asymmetrische Verschlüsselung

Public-Key Kryptographie

  • Das Schlüssel Verteilungsproblem
  • Erzeugung und Austausch von Session Keys
  • Algorithmen: Diffie-Hellman, DSA, RSA

Public Key Infrastruktur (PKI)

  • Public-Key Zertifikate und die Standards X.509 und PKCS#12
  • Root Zertifikate
  • Zertifikations- und Registrations Authoritäten CA

Digitale Signatur

  • Was ist eine digitale Signatur und wie wird diese gebildet?
  • Signatur Algorithmen: DSA, RSA

Java Security

  • Java Security Standards im Überblick: JCA, JCE, JSSE und JAAS
  • Strong Security für Java
  • Cryptographic Service Provider
  • Verwalten, Exportieren und Importieren von Schlüsseln mit dem keytool Tool
  • Mit JEE und Servlet basierter Sicherheit Web Services schützen
  • Konfiguration von Web Sicherheit im Apache Tomcat
  • Nahtlose Integration von Web Services Sicherheit in J2EE Application Server am Beispiel von JBoss

XML Security

  • W3C Standards: Canonical XML, XML Encryption, XML Signature
  • Erzeugen von XML Signaturen und XML Verschlüsselung mit der Apache XML Security Bibliothek
  • Schwachstellen von XML Sicherheit

OASIS Web Services Security (WSS) alias WS-Security

  • Austausch von Tokens: UsernameToken und BinarySecurityToken
  • Signieren und Verschlüsseln von Teilen einer SOAP Nachricht
  • WSS Unterstützung in Axis, Axis2, Oracle JAX-WS RI und Apache CXF
  • Die WSS Bibliothek Apache WSS4J
  • WSS Konfiguration am Beispiel vom Apache Modul Rampart
  • Kerberos über WSS
  • Interoperable Sicherheit mit dem WS-I Security Profile

Single Sign On SSO für Web Services

  • Wie funktioniert Single Sign on für das Web?
  • Wie kann man SSO für Services nutzen?
  • Web Services SSO mit Kerberos
  • SSO mit einem LDAP Verzeichnis
  • Identity Federation

Security Assertion Markup Language SAML

  • Single Sign On mit SAML und WSS
  • Zusammenspiel von Principal, Identity Provider und Service Provider
  • SAML 2.0
  • Der Signature-Wrapping Angriff gegen SAML

WS-Security Policy

  • Richtlinien und Fähigkeiten mit WS-Policy
  • Konfiguration mit WS-Policy
  • Sicherheitsrichtlinien mit WS-Security Policy
  • Einbetten von Richtlinien in WSDL

WS Trust

  • Einrichten eines SecurityTokenService STS
  • Sichern von Diensten
  • SSO mit WS-Trust Beispiel
  • WS-Federation

Netzwerk und Transport Schicht Sicherheit für SOAP

  • Transport Layer Security (TLS, SSL)
  • Überblick über die TLS Versionen. Welche Versionen sind sicher?
  • Beispiele einer TLS/SSL Konfiguration für den Apache Tomcat

Authorisierung

  • Schützen von Ressourcen und Objekten
  • Access Control Listen ACL
  • XML Access Control Markup Language XACML
  • Beispiel einer Infrastruktur für die Authorisierung von Web Services Anfragen

Planung einer sicheren Web Service Architektur

  • TLS oder feinkörnige end-zu-end Sicherheit mit Web Services Security (WSS)
  • Interoperabilität von sicheren Web Service Lösungen
  • Öffnen einer Firewall für Web Services
  • Anbieten von Web Services über einen reverse Proxy
  • Web Services Firewalls

Ausblick: REST, JWT, JWE

  • Was sind die Alternativen zu Web Services Sicherheit
  • OAuth2 und JWT

Dauer

2 Tage

Zielgruppe

Sicherheitsbeauftragte, Software Entwickler und Administratoren

Vorkenntnisse

Besuch einer Web Services Schulung oder Besitz vergleichbarer Kenntnisse. Programmierkenntnisse in Java sind nicht erforderlich.

Ziele

  • Aufbau eines Verständnisses für Kryptographie und Netzwerksicherheit
  • Risiken beurteilen zu können
  • Du verstehst die Konzepte einer Public Key Infrastruktur
  • Du bekommst eine Idee wie Web Service Security gestaltet werden kann

Deine Vorteile

  • Sie erfahren, welche Standards und Technologien heute bereits erfolgreich im Einsatz sind und welche Sicherheitsstandards noch in den Kinderschuhen stecken.
  • Diese Schulung vermittelt Ihnen das nötige Wissen, um Web Services zu schützen und sicher zu betreiben.

Kursunterlage

Handouts aller während der Schulung präsentierten Folien sowie ein Skript mit Übungen.

Raumanforderungen für Onsite Training

  • 1 PC für 1-2 Teilnehmer(min. Pentium III 1 GHz, 512 oder 1024 MB)
  • Beamer
  • Flipchart oder Whiteboard

* Gesamtpreis pro Teilnehmer inkl. Kursmaterial und Tagesverpflegung zzgl. Mehrwertsteuer

Überblick

Übungsanteil: 50 %
Schwierigkeitsgrad: mittel

Termine auf Anfrage:
(0228) 5552576-0 oder info@predic8.de

Teilnahme: 1.190,- €*

Unterlagen zum Kurs

Werfen Sie einen Blick in die Unterlagen zur Security Schulung (PDF 2,8 MB)