Académique Documents
Professionnel Documents
Culture Documents
Mcanismes de base de scurit Scurisation des services web Standards de scurisation des services web
Conclusion
INTRODUCTION
Les services Web sont utiliss de plus en plus pour des transactions daffaires relles
Quelle sont les attaques aux services web ?? Comment scuriser les services web??
Les services Web XML vont rouvrir 70% des chemins dattaques ferms par les pare-feu lors de la dernire dcennie. Ils peuvent transporter virtuellement toutes les donnes utiles sur le port 80 et le pare-feu ne peut les arrter. - Gartner Group, 2003
Adresse source valide Comportement du paquet normal Requte HTTP bien forme
M M M M M M M M M M M M
Attaquant
Internet
service
M M
Eavesdropping
Rejeu
Perte dintgrit
rediriger vers une source malicieuse ou peu fiable Forcer ouvrir des fichiers douteux
Dtournement du routage
WS-Addressing permet de spcifier une route suivre pour le trafic SOAP en utilisant des balises XML un pirate contrle lun de ces routes intermdiaires:
Insrer dautres routes non fiables dtourner de linformation confidentielle Rediriger linformation une destination inexistante crer un dni de service
Contenu malicieux
<client> <NomduClient>ABC</NomduClient> <IDClient>12345</IDClient> </client> <Client> <NomduClient>ABC</NomduClient> <IDClient>12345; drop table utisateurs; -</IDClient> </client>
Contenu malicieux
Fichier dans le message XML De plus en plus dapplications supportent XML nativement (Office 2003,2007)
Buffer Overflow
Vrifier sil y a vrification de la longueur maximale du champ Exemple:service Web destin recevoir une liste de numros de tlphone
Scurisation de linfrastructure informatique Scurisation des connexions Authentification et contrle daccs Scurisation du protocole SOAP Standard de scurit XML
Scurisation des connexions Une des solutions les plus faciles pour scuriser les services web et d'assurer la fiabilit de la connexion entre le client et le serveur.
le protocole SSL (Secure Sokets Layer) Les rseaux privs virtuels (VPN, Virtyal Private Network).
Lauthentification est le processus qui consiste vrifier lidentit dune personne, dun service et ou dune application metteur dun message.
Pour quil y ait accs un systme, les informations concernant lentit sont compares avec des informations de contrle des accs.
Scurisation du protocole SOAP Le message SOAP a besoin dtre encrypt pour protger les contenus de changement.
Encrypter le corps SOAP et/ou des donnes dfinies dans les champs header SOAP.
tablir les connexions avec VPN qui est encrypt par dfaut.
Standard de scurit XML Les techniques les plus simples pour la scurit des services web sont:
Des abrgs de message pour lintgrit SSL (Secure Sokets Layer) pour lencryptage assurant ainsi la confidentialit.
Portion (ex.: lment) ou tout le document peut tre sign Un ou plusieurs signatures XML dans un mme document XML
Une signature sapplique tout URI ou contenu non XML (ex.: un fichier .jpg)
(CanonicalizationMethod) Pointe un URI (ex.: URI="#someElementID") (SignatureMethod) (<Reference (URI=)? > (Transforms)? (DigestMethod) (DigestValue) </Reference>)+ Algorithm="http://www.w3.o rg/2000/09/ xmldsig#sha1" Valeur du condens (digest) exprim en base64 Signature num rique du block SignedInfo exprim en base64
Chiffre une portion du message Algorithmes varis utilis pour le cryptage Utilise quelques balises de XML Signature (dont llment KeyInfo)
Chiffrement persistent
Dans la transmission dun message SOAP qui passe par plusieurs points
Exemple sans chiffrement <?xml version='1.0'?> <InfoPaiement xmlns='http://test.org/details'> <Name>Luc Utilisateur</Name> <CarteCredit Limite='12,000' Currency=CA'> <Numero>1234 5678 9012 3456</Numero> <Emetteur>Banque Locale</Emetteur> <Expiration>12/06</Expiration> </CarteCredit> </InfoPaiement>
SUPER-ENCRYPTAGE :
<InfoPaiement xmlns='http://test.org/details'> <EncryptedData ID=ED1 xmlns='http://www.w3.org/2001/04/xmlenc#' Type='http://www.w3.org/2001/04/xmlenc#Content'> <CipherData> <CipherValue>original Encryptdonnees</CipherValue> </CipherData> </EncryptedData> </InfoPaiement>
<?xml version='1.0'?>
Permet la gestion des cls publiques utilises par exemple avec XML Encryption et XML Signature
XML Key Registration Service Specification (X-KRSS) supporte les oprations (register, recover, reissue, and revoke) qui grent le cycle de vie dune cl publique
XML Key Information Service Specification (X-KISS) supporte les oprations (locate & validate) de requtes pour obtenir et valider une cl publique
WS-SECURITY
Horodateur (Timestamp)
Username token: nom et mot de passe X509: nom et cl publique Autres incluant les billets Kerberos, et cls de session
WS-SECURITY
Signatures
Syntaxe donne par le standard XML-DSIG Lier ensemble une liste dlments du message, avec la cl drive dun jeton de scurit
Cls de chiffrement
Syntaxe donne par le standard XML-ENC Plusieurs lments du message peuvent tre chiffrs
<S:Envelope> <S:Header> <wsse:Security> <!-- Security Token --> <wsse:UsernameToken> ... </wsse:UsernameToken> <!-- XML Signature --> <ds:Signature> ... <ds:Reference URI="#body"> ... </ds:Signature> <!-- XML Encryption Reference List --> <xenc:ReferenceList> <xenc:DataReference URI="#body"/> </xenc:ReferenceList> </wsse:Security> </S:Header> <S:Body> <!-- XML Encrypted Body --> <xenc:EncryptedData Id="body" Type="content"> ... </xenc:EncryptedData> </S:Body> </S:Envelope>
Nom dutilisateur/mot de passe, certificats digitaux X.509, Assertions SAML, Tickets Kerberos
SAML
SAML (une identit portable) permet le transport des attributs de scurit dun individu Prcde les services Web mais a t appliqu ceux-ci et introduit dans WS-Security Dans un contexte de commerce lectronique, chaque entit conserve son mcanisme dauthentification et SAML permet la confiance inter-domaine. Chaque organisation fait ou non le choix de faire confiance aux membres dune autre organisation bas sur les assertions SAML
SAML
3
Authentification (mot de passe, Kerberos, X.509, etc.) Autorisation (peut accder une ressource donne de la manire spcifie)
CONCLUSION
Utiliser la scurit au niveau du message si possible versus le niveau transport et les mthodes propritaires Surveiller lvolution des standards Surveiller lvolution des pare-feu pour accommoder les services Web (i.e. pare-feu XML et XML Gateways) Ne pas ngliger limpact de la scurit sur la performance des services Web
RETENIR
WS-Security nest pas suffisant Les standards rpondent certains types dattaques Besoins dheuristiques pour contrevenir aux autres types dattaques (XDoS, XVirus, etc.) Une nouvelle classe dappareil rseau est ncessaire: le parefeu XML Inspecte les messages XML lorsquils franchissent les frontires de lorganisation Ajoute un niveau de scurit et dinteroprabilit linfrastructure Implmente les standards et les heuristiques et permettent de mettre en place les pratiques exemplaires