Schulung: Web Services Sicherheit

Sicherheit ist eine Voraussetzung für den Einsatz von Web Services in unternehmenskritischen Anwendungen. Dies gilt besonders, wenn externe Partner über Web Services angebunden werden.
Diese Schulung vermittelt Grundlagen der Sicherheit und deren Anwendung in einer Service orientierten Architektur. Web Services Standards wie WSS, SAML und WS-SecureConversation bilden den Schwerpunkt dieser Schulung. Auf die Behandlung der mathematischen Grundlagen wird zu Gunsten von Praxisbeispielen verzichtet.

Kursinhalt

Diese Schulung beinhaltet die Module:

Sicherheits- und Kryptographie Grundlagen

• Plaintext und Ciphertext
• Authentifikation, Authorisierung, Datenintegrität, und Nichtablehnung
• Grundbegriffe: Principal, Credentials, Claim, Token, ...

Digitaler Fingerabdruck, Hashfunktionen und Digest

• Was ist eine Hash Funktion?
• Anwendungen: Prüfsumme, Speicherung und Übertragung von Passwörtern, Hashtabellen, P2P, Tokens
• Hashalgorithmen: MD5, SHA-1
• Einsatz am Beispiel von HTTP Digests Authentication
• Hashed Message Authentication Code HMAC

Verschlüsselung mit symmetrischen Keys

• Algorithmen: AES, DES, Triple DES, IDEA, RC4, RC5
• Symmetric-Key Management

Public-Key Kryptographie

• Das Schlüssel Verteilungsproblem
• Erzeugung und Austausch von Session Keys
• Algorithmen: Diffie-Hellman, DSA, RSA

Public Key Infrastruktur (PKI)

• Public-Key Zertifikate und die Standards X.509 und PKCS#12
• Root Zertifikate
• Zertifikations- und Registrations Authoritäten
• Zertifikationshierarchien

Digitale Signaturen

• Nachrichten Digests
• Digest Algorithmen: MD2, MD5, SHA-1
• Signatur Algorithmen: DSA, RSA

Java Security

• Java Security Standards im Überblick: JCA, JCE, JSSE und JAAS
• Strong Security für Java
• Cryptographic Service Provider
• Verwalten, Exportieren und Importieren von Schlüsseln mit dem keystore Tool
• Mit JEE und Servlet basierter Sicherheit Web Services schützen
• Konfiguration von Web Sicherheit im Apache Tomcat
• Nahtlose Integration von Web Services Sicherheit in J2EE Application Server am Beispiel von JBoss

XML Security

• W3C Standards: Canonical XML, XML Encryption, XML Key Management Specification (XKMS), XML Signature
• Implementierungcen: Apache XML Security

Web Services Sicherheit

• Vorraussetzungen für Web Services Sicherheit
• Interoperable Sicherheit mit dem WS-I Security Profile
• Basic Authentification
• Szenarien zur Web Services Sicherheit

OASIS Web Services Security (WSS) alias WS-Security

• Austausch von Tokens: UsernameToken und BinarySecurityToken
• Signieren und Verschlüsseln von Teilen einer SOAP Nachricht
• WS-Policy
• Web Services Security Praxis Beispiele
• WSS Unterstützung in Axis, Axis2, Sun JAX-WS RI mit NetBeans und XFire
• Die WSS Bibliothek Apache WSS4J
• WSS Konfiguration am Beispiel vom Apache Modul Rampart
• Kerberos über WSS

Single Sign On SSO für Web Services

• Identity Federation
• Die Ansätze von Liberty Alliance, Shibboleth und SAML im Vergleich
• Web SSO
• Web Services SSO mit Kerberos
• SSO über ein LDAP Verzeichnis

Security Assertion Markup Language SAML

• Single Sign On mit SAML und WSS
• Zusammenspiel von Principal, Identity Provider und Service Provider
• SAML Einsatz am Beispiel von Sun RI und Netbeans
• Ausblick SAML 2.0

Netzwerk und Transport Schicht Sicherheit für SOAP

• Internet Protocol Security (IPSec)
• Transport Layer Security (TLS, SSL)
• HTTP over SSL
• Beispiele einer SSL Konfiguration für SOAP mittels Apache Axis

Authorisierung

• Schützen von Ressourcen und Objekten
• Access Control Listen ACL
• XML Access Control Markup Language XACML
• Beispiel einer Infrastruktur für die Authorisierung von Web Services Anfragen

Planung einer sicheren Web Service Architektur

• SSL oder feinkörnige end-zu-end Sicherheit mit Web Services Security (WSS)
• Single Sign-On und Web Services
• Interoperabilität von sicheren Web Service Lösungen
• Sicherung von Web Services Engines und Web Servern
• Öffnen einer Firewall für Web Services
• Anbieten von Web Services über einen Reverse Proxy
• Web Services Firewalls
• WS-Trust und WS-Federation

Dauer

2 Tage

Zielgruppe

Software Entwickler, Programmierer, Sicherheitsbeauftragte, Analytiker und Projektmanager

Vorkenntnisse

Besuch der Web Services Schulung für Manager oder Besitz vergleichbarer Kenntnisse. Programmierkenntnisse in Java sind nicht erforderlich.

Ziele

• Beurteilung von Risiken
• Verstehen Sie die Konzepte einer Public Key Infrastruktur
• Verstehen Sie die Implikationen von Web Service Security

Ihre Vorteile

• Sie erfahren, welche Standards und Technologien heute bereits erfolgreich im Einsatz sind und welche Sicherheitsstandards noch in den Kinderschuhen stecken.
• Diese Schulung vermittelt Ihnen das nötige Wissen, um Web Services zu schützen und sicher zu betreiben.

Trainer

Thomas Bayer verfügt über viel Erfahrung als Software-Designer, Berater und Trainer. Er hat selbst Firewalls installiert und Firewallsoftware entwickelt. Zur Auditierung von bestehenden Firewall-Installationen hat er als Hacker im Auftrag gearbeitet. Thomas Bayer ist ebenfalls Co-Autor des Buches Java Web Services mit Apache Axis.

Kursunterlage

Handouts aller während der Schulung präsentierten Folien.

Raumanforderungen für Onsite Training

• Beamer
• Flipchart oder Whiteboard

• Home
• Schulung
• Kursbeschreibungen
• Web Services
• SOA
• ESB & JBI
• BPEL
• Java Web Services
• Axis
• Axis2
• WS Sicherheit
• WS Architecture
• JEE Web Services
• Web 2.0
• REST
• Perl Web Services
• Groovy
• Onsite
• Kursmaterial
• Schulungsmodule
• AGBs
• Teilnahme FAQ
• Beratung
• Entwicklung
• Veröffentlichungen
• Downloads
• Kontakt
• Impressum
• Jobs

(0228) 93 39 99 54
info@thomas-bayer.com

Copyright (c) 2004 - 2007 Thomas Bayer
Albertus-Magnus-Str. 40, 53177 Bonn, Tel. +49 (228) 93 39 99 54