Kontakt, Inhaltsverzeichnis und weitere Service-Links

• Impressum

Navigation für bestimmte Zielgruppen

• Wintersemester 2023/2024
• Abschlussarbeiten
• Archiv
• Datenschutz

Haupt-Navigation

• Archiv
• Sommersemester 2023
• Wintersemester 2022/2023
• Sommersemester 2022
• Wintersemester 2021/2022
• Sommersemester 2021
• Wintersemester 2020/2021
• Sommersemester 2020
• Wintersemester 2019/2020
• Sommersemester 2019
• Wintersemester 2018/2019
• Sommersemester 2018
• Wintersemester 2017/2018
• Sommersemester 2017
• Wintersemester 2016/2017
• Sommersemester 2016
• Wintersemester 2015/2016
• Sommersemester 2015
• Wintersemester 2014/2015
• Sommersemester 2014
• Wintersemester 2013/2014
• Sommersemester 2013
• Wintersemester 2012/2013
• Sommersemester 2012
• Wintersemester 2011/2012
• Sommersemester 2011
• Wintersemester 2010/11
• Sommersemester 2010
• Wintersemester 2009/2010
  • Absicherung von Diensten
    • Absicherung von Diensten WS 2009/2010 intern
  • Ambient Assisted Living 1
  • Autonomous Security
  • Information Filtering Services
  • Künstliche Intelligenz: Grundlagen und Anwendungen
  • Künstliche Intelligenz in RoboCup
  • MPGI 3 Praktikum: Fahrstuhlsimulation
  • Next Generation Services
  • Robocup 1
  • Semantic Search
  • Seminare
  • Smart Communication Systems
  • Smart Filtering Systems
• Sommersemester 2009
• Wintersemester 2008/2009
• Sommersemester 2008
• Wintersemester 2007/2008
• Sommersemester 2007
• Wintersemester 2006 / 2007
• Sommersemester 2006
• Wintersemester 2005 / 2006
• Sommersemester 2005
• Sommersemester 2004
• Wintersemester 2003 / 2004

Absicherung von Diensten

Modul:	Service Engineering (BINF-SWT-SE.W07)
Semester:	Wintersemester 2009/2010
Art:	PJ (6 SWS / 6 LP)
LV-Nr.:	0435 L 744
Veranstalter:	Karsten Bsufka
Zeit:	Dienstags, 16-18 Uhr, Beginn: 20.10.2009
Raum:	TEL 1118/19

Diese Veranstaltung wird online mit ISIS durchgeführt.

Zu dieser Lehrveranstaltung anmelden!

Beschreibung

Dienstbasierte Anwendungen auf der Basis von Web Services oder anderen Technologien gewinnen immer mehr an Verbreitung. Die Absicherung von dienstbasierten Anwendungen ist dabei ein wichtiges Thema. Im Bereich Web Services Security existieren eine Reihe von Standards die bereits zum Teil von Web  Service Frameworks unterstützt werden. Neben diesen Web Service Security Standards existieren jedoch noch weitere Schutzmechanismen zur Absicherung von dienstbasierten Anwendung. Ein Beispiel hierfür sind XML Application Security Gateway (Firewalls).

 

XML Application Firewall - Ãœbersicht [Steel 2005]   Web Service Beispielanwendung

 

Im Projekt wird von den Gruppen ein einfaches XML Application Security Gateway entwickelt. Dieses soll Web Services schützen die zur Verwaltung von Lehrveranstaltungen, Studenten und Benotungen an einem Institut eingesetzt werden. Die Web Services hierfür wurden im Rahmen des Projektes Absicherung von Diensten im WS 2007/2008 entwickelt. Zusätzlich zu dem XML Application Security Gateway werden auch mögliche Angriffe auf die bereitgestellten Web Services identifiziert und umgesetzt.

Die Evaluation des XML Application Security Gateway erfolgt mit dem am DAI-Labor entwickelten Network Security Simulator (NeSSi²). Hierzu wird das XML Application Security Gateway als Plug-In für NeSSi² implementiert, ebenso wie die exemplarischen Angriffe und regulären Dienstnutzungen.

 

NeSSi²

 

Die Evaluation der einzelnen XML Applications Security Gateways erfolgt am Ende des Projektes mit den Angriffen aller Gruppen. Die beste Implementierung einer XML Application Firewall wird (kann) Teil der NeSSi² Open Source Veröffentlichung werden.

 

Lernziele

• Identifizierung von Sicherheitsrisiken in dienstbasierten Anwendungen
• Entwicklung von Schutzmechanismen für dienstbasierte Anwendungen
• Simulation von Angriffen und Evaluation von Schutzmechanismen

• Präsentation von Entwicklungsergebnissen
• Umgang mit Entwicklungswerkzeugen: Subversion, Maven 2

Ablauf

1. Block: 

1.Termin: Vorstellung der Entwicklungsinfrastruktur

2.Termin: Einführung Simulationen und Evaluation von Sicherheitsmechanismen

3.Termin: Einführung NeSSi²

2. Block:

4. Termin: Web Service Security (Studentenvorträge)

4.-7. Termin: Entwicklung: Web Service Anwendung

7.-10. Termin: Entwicklung: XML Application Security Gateway

10.-13. Termin: Entwicklung: Angriffe auf Web Services

13.-14. Termin: Evaluation des XML Application Security Gateway

15. Termin: Abschlusspräsentation

Rücksprache

 

 

Prüfungsmodalitäten, Anforderungen

Zum Ende des Semesters wird in einem Abschlussgespräch insbesondere der individuelle Arbeitsbeitrag überprüft. Das Ergebnis des Gesprächs geht direkt in alle Teilnoten ein.

Die Gesamtnote setzt sich folgendermaßen zusammen:

• Projektergebnisse (50%)
• Dokumentation  (30%)
• Rücksprache (20%)

Literatur

1. Rainer Bye, Stephan Schmidt, Katja Luther, Sahin Albayrak.  Application-level simulation for network security. First International Conference on Simulation Tools and Techniques for Communications, Networks and Systems, SimuTools 2008. http://www.dai-labor.de/index.php?id=1034&pubID=270
2. Stephan Schmidt, Rainer  Bye, Joel Chinnow, Karsten Bsufka, Ahmet Camtepe, Sahin Albayrak. Application-level Simulation for Network Security.
   SIMULATION, Aug 2009; OnlineFirst: 0037549709340730. doi:10.1177/0037549709340730. sim.sagepub.com/cgi/content/abstract/0037549709340730v1
3. Adam Kolowa. SOA Best Practices - Four Steps to Securing Your Web Services. 2007. http://soa.sys-con.com/node/219090
4. Microsoft. Perimeter Service Router. http://msdn.microsoft.com/en-us/library/aa480606.aspx
5. Don Patterson. XML Firewall Architecture and Best Practices for Configuration and Auditing. 2007. http://www.sans.org/reading_room/whitepapers/firewalls/1766.php
6. Arnon Rotem-Gal-Oz. Service Firewall Pattern. 2007. http://www.infoq.com/articles/service-firewall
7. Anoop Singhal, Theodore Winograd, Karen Scarfone. Guide to Secure Web Services - Recommendations of the National Institue of Standards and Technology. NIST Special Publication 800-98. August 2007. http://csrc.nist.gov/publications/PubsSPs.html
8. Christoper Steel, Ramesh Nagappan, Ray Lai. core Security Patterns - best practices and strategies for J2EE, Web services and identity management. Prentice Hall, 2005.

 

Weitere Literatur wird nach Bedarf während des Projekts zur Verfügung gestellt.

Ansprechpartner

Karsten Bsufka, e-mail