Anda di halaman 1dari 52

ESPECIALIZACIN EN SEGURIDAD INFORMTICA

FUNDAMENTOS DE LA SEGURIDAD INFORMTICA

Prof. Reinaldo Mayol Arnao, Ph.D.


Gua para Asegurar Servicios Web
NIST SP 800-95
UNIVERSIDAD PONTIFICIA BOLIVARIANA
SISTEMA DE FORMACIN AVANZADA
MEDELLN
2015
"World wide web" by Svilen.milev - Own work. Licensed under CC BY-SA 3.0 via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:World_wide_web.jpg#mediaviewer/File:World_wide_web.jpg

ESPECIALIZACIN EN SEGURIDAD INFORMTICA


FUNDAMENTOS DE LA SEGURIDAD INFORMTICA

INTEGRANTES
Laura Valderrama
Luisa Castaeda
Andrs Jaramillo
Ivn Santa
UNIVERSIDAD PONTIFICIA BOLIVARIANA
SISTEMA DE FORMACIN AVANZADA
MEDELLN
2015
"World wide web" by Svilen.milev - Own work. Licensed under CC BY-SA 3.0 via Wikimedia Commons - http://commons.wikimedia.org/wiki/File:World_wide_web.jpg#mediaviewer/File:World_wide_web.jpg

Agenda
Gua para Servicios Web Seguros
1
2
3
4
5
6

Servicios Web y su relacin con Seguridad


Fucionalidades de seguridad de Servicios
Web y Tecnologas Relacionadas
Human Users Entry Point Into A Soa:
Web Portals
Secure Web Service-enablig of Legacy
Applications
Implementacin segura de herramientas y
tecnologas
Apndices

Gua para Servicios Web Seguros

Servicios Web y su relacin con Seguridad

Servicios Web y su relacin con Seguridad

Introduccin a Servicios Web

SOA: Arquitectura Orientada a Servicios


Servicio Web: Tecnologa que puede ser usada para implementar SOA
SOAP: Uno de los protocolos SOA, define como son las solicitudes y
las respuestas.
XML: Lenguaje en que se estructura los mensajes SOAP.
WSDL: Define el formato de cada mensaje SOAP, permitiendo enlace
dinmico.
UDDI: Estndar de descubrimiento, permite que los servicios web se
busquen unos a otros dinmicamente

Servicios Web y su relacin con Seguridad

Introduccin a los Servicios Web


Ejemplo

Mesera
Cocineros

Cocinero
Jefe

Orden

Comida

Administrador

MEN

Descubrimiento
Lenguaje en Comn : Espaol
Figura 1. Ejemplo de servicios en la vida real. Autores

Servicios Web y su relacin con Seguridad

Introduccin a los Servicios Web


Coreografa

Servicio
Web
Proveedor 1
Servicio
Web
Proveedor 2

Servicio Web
Orquestador

Servicio Web
Intermediario
Solicitud
SOAP

UDDI

Servicio Web
Proveedor 3

Descubrimiento

Respuesta
SOAP

WSDL

Servicio
Web
Solicitante

Lenguaje en comn: XML

Portal Web
Figura 2. .Componentes y roles, SOA con servicios Web. Autores

Servicios Web y su relacin con Seguridad

Introduccin a los Servicios Web


Cmo podemos verlo mejor?
Vamos a consumir un Servicio Web que contiene
informacin sobre el pasado mundial de ftbol.

Figura 3. Toma de pantalla de Webservice FOOTBALPOOL. http://footballpool.dataaccess.eu/en/About/Web-Services-137

Servicios Web y su relacin con Seguridad

Elementos de Seguridad

Identificacin y autenticacin
Autorizacin
Integridad
No Repudio
Confidencialidad
Privacidad

Servicios Web y su relacin con Seguridad

Dimensiones de Seguridad
Mensajera Segura
HTTPS
Cifrado XML y firmado XML
WS-Security
Proteccin de Recursos
Negociacin de Contratos
Relaciones de confianza
Requerimientos para software seguro

Servicios Web y su relacin con Seguridad

Estndares de Seguridad

Conociendo los Requerimientos

Figura 4. Estndares de seguridad en servicios Web.

SINGHAL, Anoop, et al. Guide to Secure Web Services. NIST. 2007

Servicios Web y su relacin con Seguridad

Dimensiones, requerimientos y Especificaciones

Figura 5. Especificaciones y estndares dirigidos a seguridad de SOAs SINGHAL, Anoop, et al. Guide to Secure Web Services. NIST. 2007

Servicios Web y su relacin con Seguridad

Dimensiones, requerimientos y Especificaciones

Figura 6. Especificaciones y estndares dirigidos a seguridad de SOAs SINGHAL, Anoop, et al. Guide to Secure Web Services. NIST. 2007

Servicios Web y su relacin con Seguridad

Riesgos Comunes y estndares que los enfrentan

Figura 7. Amenazas controladas por estndares de web services actuales SINGHAL, Anoop, et al. Guide to Secure Web Services. NIST. 2007

Gua para Servicios Web Seguros

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Authentication Service-to-Service
La autenticacin es requerida para limitar el acceso a los
recursos, las autenticaciones se pueden realizar
empleando varios mtodos como son entregar Tokens en
una conexin http, o pasar certificados SSL/TTS, o
pasando Tokens junto con la solicitud SOAP.
Los Token de autenticacin se realizan generalmente
mediante el estndar OASIS WS-Security, el cual
permite varios mtodos de autenticacin como son:
usernames, X.509 PKI certificates, Kerberos tickets, o
SAML assertions

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Service Chaining
A veces, un proveedor de servicios puede no ser capaz
de realizar las acciones que un usuario o solicitante
desea que ste realice, pero sabe de un servicio Web
remoto que si puede. El proveedor de servicios puede
invocar otro servicio a distancia para satisfacer la peticin
del solicitante, que se conoce como encadenamiento de
servicios. El proveedor de servicios puede usar una
asercin SAML, un mensaje WS-Security o ambos para
asegurar la confianza entre los los WS.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

WS-Security for Authentication


Muchos servicios Web se basan en los mecanismos de
autenticacin proporcionadas por HTTP y SSL / TLS. Si
un mensaje SOAP viaja entre varios puntos finales SOAP
antes de llegar a su destino, no es aceptable que
dependa de HTTP y SSL / TLS para la autenticacin,
confidencialidad e integridad.
WS-Security tambin proporciona mecanismos para el
cifrado y la firma de elementos de un mensaje SOAP,
incluyendo cualquier tokens WS-Security.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Identity Management Architectures


Hay 3 grandes arquitecturas de identidad disponibles
para usar en los WS
Isolated identity management.
Federated identity management.
Centralized identity management.
Laws of Identity
En mayo de 2005, Kim Cameron, fue el autor de Las
Leyes de la identidad.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Establishing Trust between Services

En una SOA, los servicios Web deben ser capaces


de confiar entre s, sin necesidad de una amplia
reestructuracin del entorno de confianza. Liberty
Alliance proporciona aplicaciones Web y
asociacin de servicios web utilizando SAML.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Liberty Alliance and WS-Trust.

Estos estndares ofrecen caractersticas y


funcionalidades similares utilizando diferentes
tcnicas y han sido diseados con diferentes
objetivos en mente. La determinacin de qu
marco es el mejor para una organizacin en
particular depende en gran medida de lo que est
desplegado y en las metas de arquitectura de la
organizacin.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Liberty Alliance
El Liberty Alliance tiene como objetivo desarrollar
un marco de alianza de identidades basada en
estndares adecuados para las empresas y los
gobiernos.
Liberty Alliance ha definido el marco de servicios
web de identidad, que define cmo los servicios
Web pueden interactuar en nombre de un usuario
mediante el uso adecuado de SAML mediante la
definicin de varios servicios, entre ellos los
siguientes:

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Liberty Alliance (2)

Discovery Services: Permitir a los servicios web buscar


dinmicamente proveedores de identidad
Interaction Services: Proporcionar un mecanismo para
obtener permiso y as poder realizar varias acciones
Data Services: Proporcionar la funcionalidad del servicio
Web que se utilizar en nombre del principal
Identity Services: Proporciona acceso a informacin del
principal que no es posible con aserciones SAML

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

WS-Federation and WS-Trust


WS-Federation y WS-Trust fueron desarrollados por IBM,
Microsoft, RSA, Verisign, BEA, y varios otros proveedores
para crear un sistema de alianza de identidades basada en
extensiones de
WS-Security que utiliza los protocolos de servicios Web
bsicos: SOAP y WSDL.
WS-Trust se utiliza para intercambiar seales de confianza
entre los servicios Web. WS-Trust es una extensin WSsecurity que proporciona mtodos para expedir, renovar, y
validar los tokens de seguridad.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

SAML
SAML (Security Assertions Markup Language) es un entorno basado en
XML para servicios Web, permite el intercambio de informacin de
autorizacin y autenticacin entre diferentes sitios Web.
SAML es flexible y extensible y est diseado para ser utilizado por
otros estndares. Integra protocolos y entornos de mensajera ya
presentes en la industria, como XML Signature, XML Encryption y
SOAP.
Entre las ventajas que aporta SAML una de las mas importantes es
single sign-on
Consiste en que los usuarios se autentifiquen en un proveedor de
identidad sitio web y despus tengan acceso a servicios/recursos en
los proveedores de servicio sin autentificacin adicional.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Security SAML
Es importante reconocer que una vez que una asercin SAML se ha
emitido, no es posible controlar su difusin. Una entidad que recibe una
asercin SAML puede drselo a otras entidades, potencialmente
maliciosos como parte del sistema.
Hay una serie de tcnicas que pueden mitigar esta amenaza,
incluyendo:
Cifrado de la asercin, para impedir a un tercero vea lo que se est
tratando de enviar.
La firma de todo el mensaje, utilizando WS-Security en una respuesta
de SOAP o SSL / TLS en una respuesta HTTP. De esta manera, un
atacante debe reenviar el mensaje completo para tener xito.
La aplicacin de los perodos de validez, esto reducir al mnimo la
cantidad de tiempo durante el cual un atacante puede ejecutar con xito
un ataque de repeticin.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Audit in the SOA Environment

La mayora de los servidores COTS web incluyen un servicio de registro


de auditora o de eventos de seguridad.
Los datos de registro de eventos de auditora / seguridad deben ser
almacenados de forma segura para evitar la manipulacin no autorizada
o la divulgacin de los datos de registro.
NIST SP 800-9250 proporciona orientacin sobre la gestin de los
registros de seguridad en toda la organizacin. Si bien esta gua no es
especfico para SOA, muchos de los conceptos introducidos en la gua
se puede aplicar a los servicios Web.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Availability of Web Services


Para lograr la disponibilidad, un servicio Web no slo debe ser diseada e
implementada para lograr calidad de servicio y fiabilidad, sino tambin para:
Reconocer y reaccionar a los patrones de ataque asociados con DoS.
Cuando ya no es posible mantener el servicio arriba, limitar y aislar los WS
afectados. Esto significa que el ataque DoS no se propaguen ms all del
punto en el que se detectaron por primera vez por el servicio Web.
Recuperar y reanudar el funcionamiento seguro tan pronto como sea
posible despus de una denegacin de servicio.
Si el ataque DoS se vuelve demasiado persistente, o su propagacin no
se puede prevenir, todo el servicio web debe cerrar de forma segura. A
menos que un servicio sea de misin crtica definida por el reglamento de la
organizacin, nunca se debe permitir que continen operando sin funciones
de seguridad totalmente operativos y de auto-proteccin.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Non-Repudiation of Web Service Transactions

WS-Security proporciona servicios de no repudio a travs


de su uso del estndar XML Signature. Las firmas digitales
pueden proporcionar el nivel necesario de garanta exigido
por el no repudio. A travs de cifrado asimtrico, cada
servicio Web tiene una clave nica que se puede utilizar
para firmar elementos de SOAP.

Fucionalidades de seguridad de Servicios


Web y Tecnologas Rleacionadas

Availability of Web Services


Existe una estrecha relacin entre la disponibilidad, calidad de servicio y
confiabilidad, es necesario implementar polticas de QoS.
Entre las polticas de QoS que se deben tener en cuenta estn:
El servicio web seguir funcionando correctamente y de manera
previsible as se tenga un ataque DoS que no va dirigido al WS
directamente siempre y cuando no se vea afectado por daos
colaterales.
Si el servicio Web no puede evitar su defecto, no se dejar en un
estado de inseguridad (es decir, su fracaso no dejar el servicio mismo,
sus datos, o su entorno vulnerable a ser comprometida, subvertida o
explotada para comprometer algo ms) a menos que por poltica de la
organizacin se requiera el servicio para seguir operando.

Gua para Servicios Web Seguros

Human Users Entry Point Into A SOA: Web


Portals

Human Users entry point into A SOA:


Web Portals

Intro
Who is sending this message?
Is the authen1cated subject
en1tled to access?

Can it be proved that this
transac1on occurred?

Was the message, or the system,
tampered with?

Can the informa1on be read while
it is in transit? In storage?

Can personally iden1able
informa1on be released to the
public?

Is it vulnerable to a denial of
service a?ack (brute force or
otherwise)?

Can it be proven that the sender
and the recipient did in fact send
and receive the message?

How easy is it to apply or change a
security policy rule or
congura1on parameter?

Figura 8. Interacciones entre Servicios Web. MIR, Hasan. https://www.youtube.com/watch?v=jL1oVENiYT8

Human Users entry point into A SOA:


Web Portals

Proxy Agents

Figura 9. Amenazas controladas por estndares de web services actuales SINGHAL, Anoop, et al. Guide to Secure Web Services. NIST. 2007

Gua para Servicios Web Seguros

Secure Web Service-enablig of Legacy


Applications

Secure Web Service-enablig of


Legacy Applications

Intro

A u t h e n 1 c a 1 o n ,
authoriza1on and
access control are
need to migrate a
legacy applica1on
to a Web service
architecture

Secure Web Service-enablig of


Legacy Applications

Legacy Authentication

AUTHENTICATION

OWN PROPIERTY
AUTHENTICATION

WS-SECURITY

IPsec or SSL/TLS

SSO(IDEALLY)
Figura 11. .Legacy Authentication. Autores

Secure Web Service-enablig of


Legacy Applications

Autorization And Access Control

Figura 12. .Authorization and access control. Autores

Secure Web Service-enablig of


Legacy Applications

Autorization And Access Control (2)

SEPARATION: DUTIES, ROLES


AND PRIVILEGES

NO RETAIN PRIVILEGES

Perform only the ac1ons explicitly dened


Strictly enforce the processing order dened
Call only those other processes and libraries absolutely needed to invoke
Execute only one task at a 1me
Ini1ate a new task only aTer the previous task has completed
Access only data absolutely needed to successfully perform tasks.

Figura 13. .Authorization and access control. Autores

Secure Web Service-enablig of


Legacy Applications

Autorization And Access Control (3)


SOAP messages

Authentication
Rely on

PKI Cer1cates
Transition: APPI

Legacy Applica1ons
USERNAME
PASSWORDS
SECURITY
DATABASE

Migrate

Rely on

Cer1cates
(privileges)
SECURITY OF THE
APPLICATION
Filter
Requests
Data

Figura 14. .Authorization and access control. Autores

Secure Web Service-enablig of


Legacy Applications

Integrity of Data

End-to-end user authen1ca1on


End-to-end encrypted data channel
Public Key security end-to-end
Risk enviroments

Figura 15. .Integrity of Data. Autores

Sta1c Passwords
Dynamic Passwords
Biometric

Gua para Servicios Web Seguros

Implementacin segura de herramientas y


tecnologas

Implementacin segura de herramientas


y tecnologas

Intro

Al implementar un servicio web seguro, los


desarrolladores deben ser conscientes de cmo utilizar
las herramientas de desarrollo, tcnicas y lenguajes
disponibles de una manera segura, ya que la
funcionalidad de seguridad puede verse comprometida
por software mal implementado.

Implementacin segura de herramientas


y tecnologas

Juego de herramientas para el


desarrollo de servicios web
El aspecto ms importante de un conjunto de herramientas
de desarrollo de servicios Web es su capacidad para
interoperar con servicios web desarrollados utilizando otras
herramientas.
Las especificaciones de SOAP y WSDL dejaron algunas
opciones de diseo individuales para los conjuntos de
herramientas de desarrollo de servicios web hacindolos
menos interoperables. En particular, los servicios web Java
y .NET por defecto pueden no estar habilitados para
comunicarse con otros servicios web. Con este fin, WS-I
desarroll WS-I Basic Profile 1.1, que especifica
exactamente cmo deberan aplicarse las especificaciones
WSDL y SOAP para lograr la plena interoperabilidad

Implementacin segura de herramientas


y tecnologas

Analizadores XML

Un analizador XML mal configurado es susceptible a


varios ataques:
Grandes documentos XML pueden sobrecargar el
analizador XML y conducir a una denegacin de
servicio.
Los documentos XML pueden configurarse para
referirse y utilizar los archivos locales. Esto puede
llevar a un atacante a obtener conocimiento sobre el
sistema local.

Implementacin segura de herramientas


y tecnologas

Procedural languages

C y C++
Java
Microsofts .NET languages: C#
and VB.NET
XML

Implementacin segura de herramientas


y tecnologas

Pruebas de seguridad: Herramientas


y Tcnicas
Las pruebas de seguridad en el mbito de los servicios Web
deben ser incluidas en el plan de pruebas en general, y se
debe realizar de forma iterativa a lo largo del ciclo de vida del
servicio Web, no slo despus de la aplicacin o
implementacin.
Categoras:
Web service Security Protocol Conformance Testing.
Correctness Testing of web service security
Functionality.
Security Focused Unit Testing.
Whole aplication Vulnerability Assessment.
Web Services Software Security Assessment.

Implementacin segura de herramientas


y tecnologas

ebXML

Electronic Business using eXtensible Markup Language


Fue desarrollado en 1999 por el Centro de las Naciones
Unidas para la Facilitacin del Comercio Electrnico
(UN / CEFACT) y OASIS. Al igual que los servicios Web,
ebXML fue diseado para utilizar las normas existentes
para permitir multiplataforma y transacciones
interoperables de negocio a negocio. El objetivo de
ebXML es triunfar en el Intercambio Electrnico de
Datos.

Implementacin segura de herramientas


y tecnologas

Ataques Comunes
Privilege Escalation Attacks.
Diccionary attack.
Buffer Overflow Exploits.
Safe programming.
Memory allocation countermeasures.
Compiler-Based countermeasures.

Symlink Attacks.
Explotating Unprotected Administrator Interfaces.
Incorrectly configured access control security levels.
Incorrectly configured SSL security levels.
Autentication of administrators.
Internal, informative application error messages returned to users.

Attacks on Confidentiality.
Sniffing.

Secure Web Service-enablig of


Legacy Applications

Attacks

DENIAL OF SERVICE ATTACK


Flooding Attack

COMAND INJECTION

Secure Web Service-enablig of


Legacy Applications

Attacks (2)

MALICIOUS CODE ATTACKS


COMAND INJECTION
LOGIC BOMBS, TRAPDOORS, AND
BACKDOORS

Gua para Servicios Web Seguros

Preguntas

Gua para Servicios Web Seguros

GRACIAS !

Anda mungkin juga menyukai