Schulung: Web Services Sicherheit

Sicherheit ist eine Voraussetzung für den Einsatz von Web Services in unternehmenskritischen Anwendungen. Dies gilt besonders, wenn externe Partner über Web Services angebunden werden.
Diese Schulung vermittelt Grundlagen der Sicherheit und deren Anwendung in einer Service orientierten Architektur. Web Services Standards wie WSS, SAML und WS-SecureConversation bilden den Schwerpunkt dieser Schulung. Auf die Behandlung der mathematischen Grundlagen wird zu Gunsten von Praxisbeispielen verzichtet.

Sicherheits- und Kryptographie Grundlagen

  • Authentifikation, Authorisierung, Datenintegrität, und Nichtablehnung
  • Grundbegriffe: Principal, Credentials, Claim, Token, ...

Digitaler Fingerabdruck, Hashfunktionen und Digest

  • Anwendungen: Prüfsumme, Passwörter, Hashtabellen, P2P, Tokens
  • Hashalgorithmen: SHA-1, SHA-256

Verschlüsselung mit symmetrischen Keys

  • Algorithmen: AES, DES, Triple DES, IDEA, RC4, RC5
  • Symmetric-Key Management

Public-Key Kryptographie

  • Das Schlüssel Verteilungsproblem
  • Erzeugung und Austausch von Session Keys
  • Algorithmen: Diffie-Hellman, DSA, RSA

Public Key Infrastruktur (PKI)

  • Public-Key Zertifikate und die Standards X.509 und PKCS#12
  • Root Zertifikate
  • Zertifikations- und Registrations Authoritäten
  • CA

Digitale Signaturen

  • Nachrichten Digests
  • Signatur Algorithmen: DSA, RSA

Java Security

  • Java Security Standards im Überblick: JCA, JCE, JSSE und JAAS
  • Strong Security für Java
  • Cryptographic Service Provider
  • Verwalten, Exportieren und Importieren von Schlüsseln mit dem keytool Tool
  • Mit JEE und Servlet basierter Sicherheit Web Services schützen
  • Konfiguration von Web Sicherheit im Apache Tomcat
  • Nahtlose Integration von Web Services Sicherheit in J2EE Application Server am Beispiel von JBoss

XML Security

  • W3C Standards: Canonical XML, XML Encryption, XML Key Management Specification (XKMS), XML Signature
  • Implementierungen: Apache XML Security

OASIS Web Services Security (WSS) alias WS-Security

  • Austausch von Tokens: UsernameToken und BinarySecurityToken
  • Signieren und Verschlüsseln von Teilen einer SOAP Nachricht
  • WSS Unterstützung in Axis, Axis2, Sun JAX-WS RI mit NetBeans und CXF
  • Die WSS Bibliothek Apache WSS4J
  • WSS Konfiguration am Beispiel vom Apache Modul Rampart
  • Kerberos über WSS
  • Interoperable Sicherheit mit dem WS-I Security Profile

Single Sign On SSO für Web Services

  • Identity Provisioning mit der Service Provisioning Markup Language SPML
  • Identity Federation
  • Die Ansätze von Liberty Alliance, Shibboleth und SAML im Vergleich
  • Web SSO
  • Web Services SSO mit Kerberos
  • SSO über ein LDAP Verzeichnis

Security Assertion Markup Language SAML

  • Single Sign On mit SAML und WSS
  • Zusammenspiel von Principal, Identity Provider und Service Provider
  • SAML Einsatz am Beispiel von Sun RI und Netbeans
  • SAML 2.0

WS-Security Policy

  • Richtlinien und Fähigkeiten mit WS-Policy
  • Konfiguration mit WS-Policy
  • Sicherheitsrichtlinien mit WS-Security Policy
  • Einbetten von Richtlinien in WSDL

WS Trust

  • Einrichten eines SecurityTokenService STS
  • Sichern von Diensten
  • SSO mit WS-Trust Beispiel
  • WS-Federation

Netzwerk und Transport Schicht Sicherheit für SOAP

  • Transport Layer Security (TLS, SSL)
  • Beispiele einer SSL Konfiguration für SOAP mittels Apache Axis

Authorisierung

  • Schützen von Ressourcen und Objekten
  • Access Control Listen ACL
  • XML Access Control Markup Language XACML
  • Beispiel einer Infrastruktur für die Authorisierung von Web Services Anfragen

Planung einer sicheren Web Service Architektur

  • SSL oder feinkörnige end-zu-end Sicherheit mit Web Services Security (WSS)
  • Interoperabilität von sicheren Web Service Lösungen
  • Öffnen einer Firewall für Web Services
  • Anbieten von Web Services über einen reverse Proxy
  • Web Services Firewalls

Dauer

2 Tage

Zielgruppe

Software Entwickler, Programmierer, Sicherheitsbeauftragte, Analytiker und Projektmanager

Vorkenntnisse

Besuch einer Web Services Schulung oder Besitz vergleichbarer Kenntnisse. Programmierkenntnisse in Java sind nicht erforderlich.

Ziele

  • Beurteilung von Risiken
  • Verstehen Sie die Konzepte einer Public Key Infrastruktur
  • Verstehen Sie die Implikationen von Web Service Security

Deine Vorteile

  • Sie erfahren, welche Standards und Technologien heute bereits erfolgreich im Einsatz sind und welche Sicherheitsstandards noch in den Kinderschuhen stecken.
  • Diese Schulung vermittelt Ihnen das nötige Wissen, um Web Services zu schützen und sicher zu betreiben.

Kursunterlage

Handouts aller während der Schulung präsentierten Folien sowie ein Skript mit Übungen.

Raumanforderungen für Onsite Training

  • 1 PC für 1-2 Teilnehmer(min. Pentium III 1 GHz, 512 oder 1024 MB)
  • Beamer
  • Flipchart oder Whiteboard

* Gesamtpreis pro Teilnehmer inkl. Kursmaterial und Tagesverpflegung zzgl. Mehrwertsteuer