Seg SW

Actividades[pic 1]

Trabajo: Configurar la seguridad de servicios web

Descripción de la actividad

Esta actividad consiste en configurar la seguridad de servicios web mediante soluciones de seguridad de open source.

CORISECIO Corporate Information Security http://opensource.corisecio.com/index.php?id=get_started y EPERI http://eperi.de/en/open-source/eperi-xml-gateway/ ponen conjuntamente, a libre disposición, varias soluciones diferentes para dar seguridad a servicios web.

Pautas de elaboración

Una vez revisada la documentación de la última y reciente versión (de abril de 2104) del software para seguridad de Servicios WEB (CORISECIO y EPERI) no está adecuadamente actualizada por EPERI y puede llevar a confusiones. Por tal motivo, se va a utilizar la versión inmediatamente anterior cuya documentación está bastante bien ajustada a las capacidades del software correspondiente a la versión inmediatamente anterior. Todo el material está disponible en Internet en un alojamiento DROPBOX.

En esta actividad se van a utilizar conjuntamente dos soluciones de seguridad:

• SOA SECURITY DEMOSTRATOR para implementar servicios de autenticación, firma digital y cifrado con una aplicación de compra de libros ejemplo. (8 de 10 puntos), diseñada para aprendizaje.

• XML GATEWAY (OPCIONAL) para validación de esquemas y prevención de ataques SQLI entre otros. (2 de 10 puntos)

Requisitos. El alumno debe manejar los conceptos de certificados digitales y su uso, uso de algoritmos de claves públicas, uso de la firma digital, no repudio, autenticación, integridad y cifrado. Además, debe conocer los conceptos y arquitectura de diseño de los servicios web.

Descripción. En la figura 1, se presenta un esquema de lo que se pretende con esta actividad. Es una demostración de lo que se puede conseguir con las soluciones anteriores siguiendo el documento de ayuda Tutorial secRT demostrator y los documentos auxiliares de referencia además de estas instrucciones.

• Se dispone de un servicio de tienda web de libros (CONSUMER), otro servicio de suministro de los libros (PROVIDER) y un tercer servicio que se encarga de posibilitar el pago de los libros solicitados por un usuario (PAYMENT).
• Se dispone de tres conectores de seguridad (SOA SECURITY GATEWAY), en la figura en rojo que realizan las acciones de seguridad de autenticación, integridad, no repudio y confidencialidad, descritas en la figura y detalladas más adelante.
• Cuando se despliegan los tres servicios se arranca una aplicación de monitorización que intercala puertos (en amarillo) para poder ver tráfico de mensajes entre servicios para comprender mejor las acciones que realizan los conectores de seguridad (en rojo).
• Por último se intercala antes del servicio de pago un firewall XML (OPEN XML GATEWAY) para implementar validación de esquemas y protección de ataques SQL – XQUERY INJECTION.

[pic 2]

Seguridad de servicios web con soluciones open source

Instalación. Para su instalación en plataforma con Windows,  hay que seguir los pasos siguientes:

• Asegurarse de que los puertos 80, 443, 8080 están libres.

• Descargar SOA Demonstrator desde: https://www.dropbox.com/s/emlnz3ufl2aak83/SOA-DEMO.zip  luego descomprimir. El directorio resultante contiene las versiones de apache TOMCAT y de JAVA necesarias.

A continuación ejecutar startDemostrator.cmd (donde hay que actualizar las rutas de instalación del producto para un correcto arranque de TOMCAT con la versión de JAVA que trae consigo). Una vez actualizado el script, se ejecuta  para desplegar los tres servicios web sobre Apache Tomcat y arrancar la aplicación de monitorización del tráfico XML.

• Ejemplo de script startDemostrator.cmd (actualizar las rutas convenientemente):

set JAVA_HOME= C:\...\SOA-DEMO\Java\

set CATALINA_HOME= C:\...\SOA-DEMO\SOA-DEMO\Tomcat

set PATH=%JAVA_HOME%\bin;%PATH%

cd "C:\...\SOA-DEMO\Tomcat\bin"

start cmd /ccall C:\... \SOA-DEMO\Tomcat\bin\startup.bat

cd "C:\...\SOA-DEMO"

cd TCPMonitor

start tcpmon.bat

cd C:\...\SOA-DEMO

• Se recomienda crear y alojar en el mismo subdirectorio que startDemostrator.cmd un script (parar.cmd) para parar el servidor APACHE, con el siguiente contenido actualizando las rutas a vuestra particular configuración:

Contenido de Parar.cmd:

set JAVA_HOME=C:\Users\...\SOA-DEMO\Java\

set CATALINA_HOME=C:\Users\...\SOA-DEMO\Tomcat

set PATH=%JAVA_HOME%\bin;%PATH%

cd "C:\Users\...\SOA-DEMO\Tomcat\bin"

start cmd /ccall C:\Users\...\SOA-DEMO\Tomcat\bin\shutdown.bat

• Descargar  XML Gateway desde: https://www.dropbox.com/s/pp9ntpxqgrdvy6g/ROOT.war La solución es una aplicación desplegable en Apache denominada ROOT. Hay que copiar ROOT.war en el directorio webapps del servidor Apache Tomcat de SOA Demonstrator instalado en el paso anterior. De esta forma, al arrancar TOMCAT se despliegan SOA SECURITY DEMOSTRATOR y XMLGATEWAY en la figura 1, para poder configurar seguidamente la seguridad de los servicios web como se indica en la figura 1.

Arranque de Tomcat con las soluciones de seguridad y la aplicación tpcmonitor:

• Ejecutar 🡪 startDemonstrator.cmd arranca Tomcat, despliega SOA DEMOSTRATOR y XMLGATEWAY y arranca TCPMONITOR.

• IMPORTANTE: Después de arrancar el servidor hay que descargar el fichero config.xml de:

https://www.dropbox.com/sh/cgkzwq2z6qyy1kd/viPuZUC2ln

Una vez descargado, hay que sustituir el fichero config.xml que viene por defecto en la instalación en la ubicación:

C:\Users\...\SOA-DEMO\Tomcat\webapps\WSDemo\config.xml

Por el descargado previamente de DROPBOX, que tiene la parametrización correcta de puertos, para navegar a través de los puertos de TCPMONITOR.

• PARAR y ARRANCAR APACHE TOMCAT para que se cargue la nueva configuración.

Acceso a los conectores de seguridad de soa demostrator y gateway xml:

...