Gestión de servicios Web › Seguridad de servicios Web

Seguridad de servicios Web

Cuando se implementan servicios Web, debe conocer las importantes consideraciones de seguridad. Cuando se utiliza HTTP, la configuración predeterminada no es segura, al igual que ocurre con toda la información en llamadas a servicios Web transmitida entre clientes y servidores en texto sin formato a través de la red y mediante el protocolo HTTP. Esto afecta no sólo a datos de aplicaciones, como descripciones de tickets y nombres de contacto, sino también a identificadores de sesión de servicios Web (SID). Según los métodos de inicio de sesión utilizados en las aplicaciones de servicios Web, puede incluir contraseñas.

Se recomienda que los administradores a cargo de la implementación de los servicios Web consulten esta información con detenimiento y apliquen ciertos ajustes de configuración en los niveles de red y aplicaciones para asegurar el entorno de los servicios Web.

Importante: la configuración predeterminada de los servicios Web utilizada con HTTP no es segura y puede verse afectada por amenazas de seguridad, por ejemplo, el descubrimiento de contraseñas, la fijación de sesión y el espionaje de datos.

A la hora de desarrollar Servicios Web, deben tenerse en cuenta tres consideraciones de seguridad claves relacionadas entre sí:

• ¿Qué esquemas de autenticación de acceso (en el nivel de aplicaciones) debería admitir este desarrollo?
• ¿Qué otras funciones de seguridad al nivel de red requiere este desarrollo?
• ¿Cómo se impondrán estos requisitos mediante las opciones de configuración de los servicios Web?

A continuación se describen las funciones de seguridad:

• Esquemas de autenticación de nivel de aplicación de servicio Web: Para acceder a servicios Web, se debe autenticar una aplicación de cliente de servicio Web con la aplicación de servicio Web. Servicios Web proporciona dos esquemas de autenticación de acceso. El primero es por nombre de usuario/contraseña, mientras que el segundo es por tecnología PKI (infraestructura de claves públicas). Ambos colaboran con el componente de control y gestión de acceso de Servicios Web mediante una política de acceso. La autenticación de acceso y la gestión de acceso son las funciones de seguridad más importantes de Servicios Web.

  La autenticación con nombre de usuario/contraseña puede desactivarse mediante el comando de configuración de seguridad siguiente:

  disable_user_logon 
  

  Antes de activar esta opción y con respecto a cada cliente de servicios Web para el que la empresa solicita acceso a Servicios Web, el administrador deberá determinar la compatibilidad de dicho servicio con el método de autenticación alternativo, es decir, el método login basado en PKI. La ventaja principal de la tecnología PKI es que las aplicaciones cliente de Servicios Web no exigen el mantenimiento de cuentas de usuario del sistema, es decir, el mantenimiento, el almacenamiento y la transmisión de sus contraseñas.

• Configuración de seguridad al nivel de red: En ambos esquemas de autenticación, nombre de usuario/contraseña y PKI, el identificador de sesión devuelto por el método login específico (al igual que toda la información subsiguiente) se transmite en texto sin formato al usar HTTP. Es más, si se utiliza el esquema de autenticación por nombre de usuario/contraseña, la contraseña se envía sin protección (en texto sin formato) desde la aplicación cliente del servicio Web a los Servicios Web. Durante el desarrollo del producto, W3C no tenía estándares recomendados para la seguridad de los servicios Web. Ulteriormente, WS-Security no se utiliza en estas implementaciones de Servicios Web para proporcionar un contexto de seguridad. En su lugar, se recomienda el uso de la seguridad de la capa de transporte punto a punto (SSL/TLS) y de otros mecanismos de seguridad al nivel de red (por ejemplo, IPSec). Esto serviría para proteger la transmisión de los intercambios de autenticación al nivel de aplicaciones que, de otro modo, tendría lugar como texto sin formato, así como la identificación de sesiones y los datos subsiguientes.

  Importante: durante el desarrollo de Servicios Web, se recomienda el uso de SSL (o https) para proteger los intercambios de autenticación al nivel de aplicaciones, así como las transmisiones subsiguientes de los datos y la identificación de sesiones.

• Configuración de Servicios Web: Los dos comandos de configuración de seguridad siguientes permitirán a los administradores imponer seguridad de nivel de protocolo de comunicaciones al nivel de la aplicación de Servicios Web:

  require_secure_logon
  

  Esta función de seguridad requiere el uso de SSL (o https) para invocar los métodos Login() y LoginService(). Constituye un método útil para proteger el nombre de usuario y la contraseña a la vez que se evita la sobrecarga de SSL en el resto de los servicios Web.

  Importante: si utiliza el comando require_secure_logon, la aplicación de Servicios Web solamente confirmará el uso de seguridad de nivel de protocolo de comunicaciones para los métodos Login() y LoginService(). A menos que se tomen otras precauciones, los demás métodos de Servicios Web podrían invocarse de forma insegura e incrementar así la vulnerabilidad a amenazas de seguridad.

  require_secure_connection
  

  Esta función de seguridad requiere el uso de SSL para acceder a cualquier parte del servicio Web. Si https se necesita pero no se utiliza, se devolverá un error de SOAP con el código UDS_SECURE_CHANNEL_REQUIRED.

  Nota: Para obtener más información sobre la configuración de SSL, consulte la documentación del contenedor de Servlet J2EE.

Más información:

Especificaciones externas