Absicherung von Diensten
Modul: | Service Engineering (BINF-SWT-SE.W07) |
Semester: | Wintersemester 2008/2009 |
Art: | PJ (6 SWS / 6 LP) |
LV-Nr.: | 0435 L 744 |
Veranstalter: | Karsten Bsufka |
Zeit: | Di., 14 - 16 Uhr, ab 21.10.2008 |
Raum: | MA 545 |
Zu dieser Lehrveranstaltung anmelden!
Beschreibung
Dienstbasierte Anwendungen auf der Basis von Web Services oder anderen Technologien gewinnen immer mehr an Verbreitung. Die Absicherung von dienstbasierten Anwendungen ist dabei ein wichtiges Thema. Im Bereich Web Services Security existieren eine Reihe von Standards die bereits zum Teil von Web Service Frameworks unterstützt werden. Neben diesen Web Service Security Standards existieren jedoch noch weitere Schutzmechanismen zur Absicherung von dienstbasierten Anwendung. Ein Beispiel hierfür sind XML Application Firewalls.
XML Application Firewall - Ãœbersicht [Steel 2005] Web Service Beispielanwendung
Im Projekt wird von den Gruppen eine einfache XML Application Firewall entwickelt. Diese soll Web Services schützen die zur Verwaltung von Lehrveranstaltungen, Studenten und Benotungen an einem Institut eingesetzt werden. Die Web Services hierfür wurden im Rahmen des letzten Projektes Absicherung von Diensten entwickelt. Zusätzlich zu der XML Application Firewall werden auch mögliche Angriffe auf die bereitgestellten Web Services identifiziert und umgesetzt.
Die Evaluation der XML Application Firewall erfolgt mit dem am DAI-Labor entwickelten Network Security Simulator (NeSSi2). Hierzu wird die XML Application Firewall als Plug-In für NeSSi2 implementiert, ebenso wie die exemplarischen Angriffe und regulären Dienstnutzungen.
NeSSi2
Die Evaluation der einzelnen XML Applications Firewalls erfolgt am Ende des Projektes mit den Angriffen aller Gruppen. Die beste Implementierung einer XML Application Firewall wird (kann) Teil der NeSSi2 Open Source Veröffentlichung werden.
Lernziele
- Identifizierung von Sicherheitsrisiken in dienstbasierten Anwendungen
- Entwicklung von Schutzmechanismen für dienstbasierte Anwendungen
- Simulation von Angriffen und Evaluation von Schutzmechanismen
- Präsentation von Entwicklungsergebnissen
- Umgang mit Entwicklungswerkzeugen: Subversion, Maven 2
Ablauf
1.Termin: Organisation, Gruppeneinteilung, Vorstellung der Entwicklungsinfrastruktur
2.Termin: Einführung NeSSi2
3.Termin: Web Services Grundlagen und Einführung XML Application Firewalls
4.-6. Termin: Entwicklung von Web Service Client als NeSSi2 Plug-In
7.-10. Termin: Entwicklung der XML Application Firewall
11.-13. Termin: Entwicklung von Angriffen auf die Web Services
12.-14. Termin: Evaluation der XML Application Firewall
15. Termin: Abschlusspräsentation
Prüfungsmodalitäten, Anforderungen
Zum Ende des Semesters wird in einem Abschlussgespräch insbesondere der individuelle Arbeitsbeitrag überprüft. Das Ergebnis des Gesprächs geht direkt in alle Teilnoten ein.
Die Gesamtnote setzt sich folgendermaßen zusammen:
- Projektergebnisse (50%)
- Dokumentation (30%)
- Rücksprache (20%)
Literatur
- Rainer Bye, Stephan Schmidt, Katja Luther, Sahin Albayrak. Application-level simulation for network security. First International Conference on Simulation Tools and Techniques for Communications, Networks and Systems, SimuTools 2008. http://www.dai-labor.de/index.php?id=1034&pubID=270
- Adam Kolowa. SOA Best Practices - Four Steps to Securing Your Web Services. 2007. http://soa.sys-con.com/node/219090
- Microsoft. Perimeter Service Router. http://msdn.microsoft.com/en-us/library/aa480606.aspx
- Don Patterson. XML Firewall Architecture and Best Practices for Configuration and Auditing. 2007. http://www.sans.org/reading_room/whitepapers/firewalls/1766.php
- Arnon Rotem-Gal-Oz. Service Firewall Pattern. 2007. http://www.infoq.com/articles/service-firewall
- Anoop Singhal, Theodore Winograd, Karen Scarfone. Guide to Secure Web Services - Recommendations of the National Institue of Standards and Technology. NIST Special Publication 800-98. August 2007. http://csrc.nist.gov/publications/PubsSPs.html
- Christoper Steel, Ramesh Nagappan, Ray Lai. core Security Patterns - best practices and strategies for J2EE, Web services and identity management. Prentice Hall, 2005.
Weitere Literatur wird nach Bedarf während des Projekts zur Verfügung gestellt.
Ansprechpartner
Karsten Bsufka, e-mail
Copyright TU Berlin 2007