Goiania, 21 de novembro de 2011 Aluno: Gustavo Loureno de Abreu Atividade de Servidor de Web.

1- Segurana Muitas empresas temiam, no passado, prover funcionalidades na Internet devido ao medo de expor seus dados. Mas com advento da Web Services elas podem publicar servios de forma simples e que so totalmente isolados da base de dados. A segurana da Web Services um dos pontos fracos desta tecnologia. O problema no a falta de mecanismos de segurana mas sim a falta de consenso em qual deve ser o mecanismo a ser adaptado pela tecnologia Web Servio, As questes mais relevantes na segurana so as seguintes: Autenticidade (ter a certeza que uma transio do Web Servio ocorreu entre o servidor e seu cliente. Privacidade (todas as mensagens trocadas entre o servidor e o cliente no so interceptadas por uma pessoa no autorizada); Integridade (as mensagens enviadas tanto pelo servidor ao cliente, como o contrrio, devem permanecer inalteradas). A seguir, descrevem-se os principais mecanismos de segurana. SSL O SSL (Secure Socket Layer) quando aplicado a pequenos dispositivos oferece autenticao, integridade de dados e privacidade de servios. Actualmente, a soluo para enviar informao confidencial para Web Services utilizar um mecanismo de segurana SSL sobre HTTP tambm conhecido como HTTPS (Hypertext Transfer Protocol Secure). Este mecanismo protege informaes confidenciais e fcil de ser configurado. Tem como desvantagem ser mais lento do que as transaces HTTP no cifradas pelo que no adequado para taxas de transferncias de dados elevadas. Xml signature A XML Signature uma iniciativa conjunta da IETF (Internet Engineering Task Force) e do W3C para especificar uma sintaxe XML e regras de processamento para criao e representao digital de assinaturas. As vantagens na utilizao da XML Signature, ao contrrio de outras normas de assinaturas digitais, esto baseadas na independncia da linguagem de programao, fcil interpretao humana e independncia do fabricante. Esta tecnologia tambm permite assinar digitalmente subconjuntos de um documento XML. Xml encryption A XML Encryption especifica um processo para cifra de dados e sua representao em formato XML. Os dados podem ser dados arbitrrios

(incluindo um documento XML), elementos XML ou contedos de elementos XML. Um documento XML que utiliza a XML Encryption pode ser visto por qualquer utilizador, mas apenas o proprietrio da chave de descodificao conseguir compreender o contedo codificado. Ws-security O WS-Security uma iniciativa conjunta de empresas como Microsoft, IBM e Verisign destinada ao uso da XML-Signature e da XML-Encryption para fornecer segurana s mensagens SOAP. O WS-Security um esforo destinado a fazer com que os Web Services trabalhem melhor em um ambiente global. O WS-Security tambm inclui alguns importantes componentes como encaminhamento, confiana e tratamento de transaes Saml O SAML uma norma emergente para a troca de informao sobre autenticao e autorizao. O SAML soluciona um importante problema para as aplicaes da prxima gerao, que a possibilidade de utilizadores transportarem seus direitos entre diferentes Web Services. Isto importante para aplicaes que tencionam integrar um nmero de Web Services para formar uma aplicao unificada. 2- A distino entre autenticao e autorizao importante para compreender os motivos pelos quais as tentativas de conexo so aceitas ou negadas. A autenticao a verificao das credenciais (por exemplo, nome de usurio e senha) da tentativa de conexo. Esse processo consiste no envio de credenciais do cliente de acesso remoto para o servidor de acesso remoto em um formulrio de texto simples ou criptografado usando um protocolo de autenticao. A autorizao a verificao de que a tentativa de conexo permitida. A autorizao ocorre aps a autenticao bem sucedida.

3- O IIS no implementa nenhum modulo.A restrio de acesso do Apache feita atravs de Autorizao e Autenticao .Atravs da autorizao, checado se o endereo/rede especificada tem ou no permisso para acessar a pgina. A autenticao requer que seja passado nome e senha para garantir acesso a pgina. Os mtodos de Autorizao e Autenticao podem ser combinados como veremos mais adiante. Autorizao A restrio de acesso por autorizao (controlado pelo mdulo mod_access), permite ou no o acesso ao cliente de acordo com o endereo/rede especificada. As restries afetam tambm os sub-diretrios do diretrio alvo.

Abaixo um exemplo de restrio de acesso que bloqueia o acesso de qualquer host que faz parte do domnio .spammers.com.br a URL http://servidor/teste: <Location /teste> Option Indexes Order allow,deny allow from all deny from .spammers.com.br </Location> Atravs da autenticao (controlado pelo mdulo mod_auth) possvel especificar um nome e senha para acesso ao recurso solicitado. As senhas so gravadas em formato criptografado usando Cryptoou MD5 (conforme desejado). O arquivo de senhas pode ser centralizado ou especificado individualmente por usurio, diretrio ou at mesmo por arquivo acessado. Controle de Acesso * mod_access - Controle de acesso por autorizao (usurio, endereo, rede) * mod_auth - Autenticao HTTP bsica (usurio, senha) mod_auth_dbm - Autenticao HTTP bsica (atravs de arquivos NDBM do Unix) mod_auth_db - Autenticao HTTP bsica (atravs de arquivos Berkeley-DB) mod_auth_anon - Autenticao HTTP bsica para usurios no estilo annimo mod_auth_digest - Autenticao MD5 mod_digest - Autenticao HTTP Digest

4- O IIS no implementa modulo como o apache.O SSL uma implementao do IIS. A Microsoft aprimorou a implementao do SSL para fornecer desempenho e escalabilidade ainda maiores. 5- Para garantir segurana nas transaes HTTP, o servidor dispe de um mdulo chamado mod_ssl, o qual adiciona a capacidade do servidor atender requisies utilizando o protocolo HTTPS. Este protocolo utiliza uma camada SSL para criptografar todos os dados transferidos entre o cliente e o servidor, provendo maior grau de segurana, confidencialidade e confiabilidade dos dados. 6- Com a necessidade de enviar/receber dados de forma segura, o protocolo HTTP foi combinado com SSL, formando assim o HTTPS. a

maneira mais comum e atualmente de trafegar documentos via web de maneira segura. 7- Protocolo mais utilizado para comunicao segura em redes, amplamente utilizado para proteger o trfego Web e para protocolos de correio como IMAP e POP. TLS deve rodar sobre um transporte confivel, tipicamente TCP, que garante a ordenao dos pacotes e falha quando operando sobre transporte no confivel como UDP. 8- E o mesmo principio com as verses diferentes. 9- O exemplo de SSL e a estrutura PKI que so certificados. J o exemplo TLS Os Web services so componentes que permitem s aplicaes enviar e receber . Outras tecnologias fazem a mesma coisa, como por exemplo, os browsers da . Em relao a Web, o SOAP um protocolo de RPC que funciona sobre HTTP . o servidor de HTTP, tais como Apache ou IIS (Microsoft Internet Information . Exemplo de script para validar a configurao de certificados Voc deve obter um certificado SSL para o servidor do Gateway TS caso ainda no tenha um. de Carga RPC/HTTP e o IIS usam o TLS 1.0 para criptografar as comunicaes . Para que o TLS funcione corretamente, voc deve instalar um certificado SSL. 10-Apache com SSL, sua aplicao conhecida como um servidor web capaz de fornecer por padro criptografia baseada no protocolo SSL, utilizando o OpenSSL e SSLeay. A licena BSD-Style e pode ser utilizada para fins comerciais e no comerciais. Esse sistema foi criado pelo desenvolvedor Ben Laury, participante direto dos projetos Apache e OpenSSL. SSL Esse protocolo suporta uma variedade de diferentes algoritmos criptogrficos, ou ciphers, para uso em operaes de autenticao e do cliente, transmisso de certificados e estabelecimento de conexes. O SSLeay uma biblioteca e um conjunto de aplicativos para criao/manipulao de chaves e certificados. Nesta seo, ser explicado como instalar e configurar o Apache-SSL, sem entrar em detalhes sobre o processo ou o porte para algum UNIX em particular. O autor utilizou como base a verso 0.8.15 do SSLeay e a 1.2.5 do Apache, ltimas verses disponveis quando este artigo foi escrito. Os passos necessrios so: 1. Compilar o SSLeay;

2. 3. 4. 5. 6. 7.

Instalar o SSLeay; Aplicar o patch do Apache-SSL sobre o Apache; Compilar o Apache; Instalar o Apache-SSL; Criar chaves e certificado para o servidor; Configurar o Apache-SSL. O TLS mod_echo um exemplo ilustrativo de sua utilizao. ... adicionais sem a necessidade de se aplicar nenhum patch ao servidor Apache principal. fornecidos pela OpenSSL. mod_dav: Novo mdulo no Apache 2.0

11- Autenticao e autorizao de usurios em Apache. Mod_auth Para configurar o servidor apache para que seja capaz de autenticar aos usurios e verificar a autorizao do mesmo ao recurso solicitado, necessrio realizar as seguintes aes:

1. Criar um arquivo com usurios 2. Criar um arquivo com grupos (se for necessrio) 3. Definir as diretrizes no arquivo de configurao ou mediante um arquivo .htaccess 4. Temos quatro esquemas de autenticao IIS 5. disponveis: 6. Acesso annimo: Qualquer usurio pode acessar o 7. recurso; 8. Autenticao bsica: Os usurios precisam fornecer 9. uma conta e senha vlidas de usurio Windows em 10. resposta a uma caixa de logon; 11. Autenticao condensada: Utilizada somente em 12. dominios windows; 13. Autenticao Windows Integrada: Usurios j logados 14. com uma conta de usurio vlida, so autenticados e 15. tem acesso ao Web site