Überblick
Anteil an Übungen
50 %
Schwierigkeitsgrad
mittel
Offene Seminare
8. - 9.7.10 Mannheim
21. - 22.10.10 Mannheim
9. - 10.12.10 Mannheim
Teilnahme: 1.190 €*
Angebot:
Holen Sie sich online eine Preisauskunft oder ein Angebot für ein Firmenseminar bei Ihnen ein.
Schulung: Web Services Sicherheit
Überblick
Sicherheit ist eine Voraussetzung für den Einsatz von Web Services in unternehmenskritischen Anwendungen. Dies gilt besonders, wenn externe Partner über Web Services angebunden werden.
Diese Schulung vermittelt Grundlagen der Sicherheit und deren Anwendung in einer Service orientierten Architektur. Web Services Standards wie WSS, SAML und WS-SecureConversation bilden den Schwerpunkt dieser Schulung. Auf die Behandlung der mathematischen Grundlagen wird zu Gunsten von Praxisbeispielen verzichtet.
Kursinhalt
Diese Schulung behandelt folgende Themen:
Sicherheits- und Kryptographie Grundlagen
- Plaintext und Ciphertext
- Authentifikation, Authorisierung, Datenintegrität, und Nichtablehnung
- Grundbegriffe: Principal, Credentials, Claim, Token, ...
Unterlagen zum Kurs
Digitaler Fingerabdruck, Hashfunktionen und Digest
- Was ist eine Hash Funktion?
- Anwendungen: Prüfsumme, Speicherung und Übertragung von Passwörtern, Hashtabellen, P2P, Tokens
- Hashalgorithmen: MD5, SHA-1
- Einsatz am Beispiel von HTTP Digests Authentication
- Hashed Message Authentication Code HMAC
Verschlüsselung mit symmetrischen Keys
- Algorithmen: AES, DES, Triple DES, IDEA, RC4, RC5
- Symmetric-Key Management
Public-Key Kryptographie
- Das Schlüssel Verteilungsproblem
- Erzeugung und Austausch von Session Keys
- Algorithmen: Diffie-Hellman, DSA, RSA
Public Key Infrastruktur (PKI)
- Public-Key Zertifikate und die Standards X.509 und PKCS#12
- Root Zertifikate
- Zertifikations- und Registrations Authoritäten
- Zertifikationshierarchien
Digitale Signaturen
- Nachrichten Digests
- Digest Algorithmen: MD2, MD5, SHA-1
- Signatur Algorithmen: DSA, RSA
Java Security
- Java Security Standards im Überblick: JCA, JCE, JSSE und JAAS
- Strong Security für Java
- Cryptographic Service Provider
- Verwalten, Exportieren und Importieren von Schlüsseln mit dem keystore Tool
- Mit JEE und Servlet basierter Sicherheit Web Services schützen
- Konfiguration von Web Sicherheit im Apache Tomcat
- Nahtlose Integration von Web Services Sicherheit in J2EE Application Server am Beispiel von JBoss
XML Security
- W3C Standards: Canonical XML, XML Encryption, XML Key Management Specification (XKMS), XML Signature
- Implementierungcen: Apache XML Security
Web Services Sicherheit
- Vorraussetzungen für Web Services Sicherheit
- Interoperable Sicherheit mit dem WS-I Security Profile
- Basic Authentification
- Szenarien zur Web Services Sicherheit
OASIS Web Services Security (WSS) alias WS-Security
- Austausch von Tokens: UsernameToken und BinarySecurityToken
- Signieren und Verschlüsseln von Teilen einer SOAP Nachricht
- WS-Policy
- Web Services Security Praxis Beispiele
- WSS Unterstützung in Axis, Axis2, Sun JAX-WS RI mit NetBeans und XFire
- Die WSS Bibliothek Apache WSS4J
- WSS Konfiguration am Beispiel vom Apache Modul Rampart
- Kerberos über WSS
Single Sign On SSO für Web Services
- Identity Provisioning mit der Service Provisioning Markup Language SPML
- Identity Federation
- Die Ansätze von Liberty Alliance, Shibboleth und SAML im Vergleich
- Web SSO
- Web Services SSO mit Kerberos
- SSO über ein LDAP Verzeichnis
Security Assertion Markup Language SAML
- Single Sign On mit SAML und WSS
- Zusammenspiel von Principal, Identity Provider und Service Provider
- SAML Einsatz am Beispiel von Sun RI und Netbeans
- Ausblick SAML 2.0
Netzwerk und Transport Schicht Sicherheit für SOAP
- Internet Protocol Security (IPSec)
- Transport Layer Security (TLS, SSL)
- HTTP over SSL
- Beispiele einer SSL Konfiguration für SOAP mittels Apache Axis
Authorisierung
- Schützen von Ressourcen und Objekten
- Access Control Listen ACL
- XML Access Control Markup Language XACML
- Beispiel einer Infrastruktur für die Authorisierung von Web Services Anfragen
Planung einer sicheren Web Service Architektur
- SSL oder feinkörnige end-zu-end Sicherheit mit Web Services Security (WSS)
- Single Sign-On und Web Services
- Interoperabilität von sicheren Web Service Lösungen
- Sicherung von Web Services Engines und Web Servern
- Öffnen einer Firewall für Web Services
- Anbieten von Web Services über einen Reverse Proxy
- Web Services Firewalls
- WS-Trust und WS-Federation
Dauer
2 Tage
Zielgruppe
Software Entwickler, Programmierer, Sicherheitsbeauftragte, Analytiker und Projektmanager
Vorkenntnisse
Besuch der Web Services Schulung für Manager oder Besitz vergleichbarer Kenntnisse. Programmierkenntnisse in Java sind nicht erforderlich.
Ziele
- Beurteilung von Risiken
- Verstehen Sie die Konzepte einer Public Key Infrastruktur
- Verstehen Sie die Implikationen von Web Service Security
Ihre Vorteile
- Sie erfahren, welche Standards und Technologien heute bereits erfolgreich im Einsatz sind und welche Sicherheitsstandards noch in den Kinderschuhen stecken.
- Diese Schulung vermittelt Ihnen das nötige Wissen, um Web Services zu schützen und sicher zu betreiben.
Trainer
Thomas Bayer
verfügt über viel Erfahrung als Software-Designer, Berater und Trainer. Er hat selbst Firewalls installiert und Firewallsoftware entwickelt. Zur Auditierung von bestehenden Firewall-Installationen hat er als Hacker im Auftrag gearbeitet. Thomas Bayer ist ebenfalls Co-Autor des Buches Java Web Services mit Apache Axis.
Kursunterlage
Handouts aller während der Schulung präsentierten Folien sowie ein Skript mit Übungen.
Raumanforderungen für Onsite Training
- 1 PC für 1-2 Teilnehmer(min. Pentium III 1 GHz, 512 oder 1024 MB)
- Beamer
- Flipchart oder Whiteboard
* Gesamtpreis pro Teilnehmer inkl. Kursmaterial und Tagesverpflegung zzgl. Mehrwertsteuer