direkt zum Inhalt springen

direkt zum Hauptnavigationsmenü

Logo der TU Berlin

Absicherung von Diensten

Modul: Service Engineering (BINF-SWT-SE.W07)
Semester: Wintersemester 2009/2010
Art: PJ (6 SWS / 6 LP)
LV-Nr.: 0435 L 744
Veranstalter: Karsten Bsufka
Zeit: Dienstags, 16-18 Uhr, Beginn: 20.10.2009
Raum: TEL 1118/19

Diese Veranstaltung wird online mit ISIS durchgeführt.

Zu dieser Lehrveranstaltung anmelden!

Beschreibung

Dienstbasierte Anwendungen auf der Basis von Web Services oder anderen Technologien gewinnen immer mehr an Verbreitung. Die Absicherung von dienstbasierten Anwendungen ist dabei ein wichtiges Thema. Im Bereich Web Services Security existieren eine Reihe von Standards die bereits zum Teil von Web  Service Frameworks unterstützt werden. Neben diesen Web Service Security Standards existieren jedoch noch weitere Schutzmechanismen zur Absicherung von dienstbasierten Anwendung. Ein Beispiel hierfür sind XML Application Security Gateway (Firewalls).

 

XML Application Firewall [Steel 2005] XML Application Firewall - Übersicht [Steel 2005]   Web Service Beispielanwendung

 

Im Projekt wird von den Gruppen ein einfaches XML Application Security Gateway entwickelt. Dieses soll Web Services schützen die zur Verwaltung von Lehrveranstaltungen, Studenten und Benotungen an einem Institut eingesetzt werden. Die Web Services hierfür wurden im Rahmen des Projektes Absicherung von Diensten im WS 2007/2008 entwickelt. Zusätzlich zu dem XML Application Security Gateway werden auch mögliche Angriffe auf die bereitgestellten Web Services identifiziert und umgesetzt.

Die Evaluation des XML Application Security Gateway erfolgt mit dem am DAI-Labor entwickelten Network Security Simulator (NeSSi2). Hierzu wird das XML Application Security Gateway als Plug-In für NeSSi2 implementiert, ebenso wie die exemplarischen Angriffe und regulären Dienstnutzungen.

 

NeSSi2

 

Die Evaluation der einzelnen XML Applications Security Gateways erfolgt am Ende des Projektes mit den Angriffen aller Gruppen. Die beste Implementierung einer XML Application Firewall wird (kann) Teil der NeSSi2 Open Source Veröffentlichung werden.

 

Lernziele


  • Identifizierung von Sicherheitsrisiken in dienstbasierten Anwendungen
  • Entwicklung von Schutzmechanismen für dienstbasierte Anwendungen
  • Simulation von Angriffen und Evaluation von Schutzmechanismen
  • Präsentation von Entwicklungsergebnissen
  • Umgang mit Entwicklungswerkzeugen: Subversion, Maven 2

Ablauf

1. Block: 

1.Termin: Vorstellung der Entwicklungsinfrastruktur

2.Termin: Einführung Simulationen und Evaluation von Sicherheitsmechanismen

3.Termin: Einführung NeSSi2

2. Block:

4. Termin: Web Service Security (Studentenvorträge)

4.-7. Termin: Entwicklung: Web Service Anwendung

7.-10. Termin: Entwicklung: XML Application Security Gateway

10.-13. Termin: Entwicklung: Angriffe auf Web Services

13.-14. Termin: Evaluation des XML Application Security Gateway

15. Termin: Abschlusspräsentation

Rücksprache

 

 

Prüfungsmodalitäten, Anforderungen

Zum Ende des Semesters wird in einem Abschlussgespräch insbesondere der individuelle Arbeitsbeitrag überprüft. Das Ergebnis des Gesprächs geht direkt in alle Teilnoten ein.

Die Gesamtnote setzt sich folgendermaßen zusammen:

  • Projektergebnisse (50%)
  • Dokumentation  (30%)
  • Rücksprache (20%)

Literatur

  1. Rainer Bye, Stephan Schmidt, Katja Luther, Sahin Albayrak.  Application-level simulation for network security. First International Conference on Simulation Tools and Techniques for Communications, Networks and Systems, SimuTools 2008. http://www.dai-labor.de/index.php?id=1034&pubID=270
  2. Stephan Schmidt, Rainer  Bye, Joel Chinnow, Karsten Bsufka, Ahmet Camtepe, Sahin Albayrak. Application-level Simulation for Network Security.
    SIMULATION, Aug 2009; OnlineFirst: 0037549709340730. doi:10.1177/0037549709340730. sim.sagepub.com/cgi/content/abstract/0037549709340730v1
  3. Adam Kolowa. SOA Best Practices - Four Steps to Securing Your Web Services. 2007. http://soa.sys-con.com/node/219090
  4. Microsoft. Perimeter Service Router. http://msdn.microsoft.com/en-us/library/aa480606.aspx
  5. Don Patterson. XML Firewall Architecture and Best Practices for Configuration and Auditing. 2007. http://www.sans.org/reading_room/whitepapers/firewalls/1766.php
  6. Arnon Rotem-Gal-Oz. Service Firewall Pattern. 2007. http://www.infoq.com/articles/service-firewall
  7. Anoop Singhal, Theodore Winograd, Karen Scarfone. Guide to Secure Web Services - Recommendations of the National Institue of Standards and Technology. NIST Special Publication 800-98. August 2007. http://csrc.nist.gov/publications/PubsSPs.html
  8. Christoper Steel, Ramesh Nagappan, Ray Lai. core Security Patterns - best practices and strategies for J2EE, Web services and identity management. Prentice Hall, 2005.

 

Weitere Literatur wird nach Bedarf während des Projekts zur Verfügung gestellt.

Ansprechpartner

Karsten Bsufka, e-mail