De la seguridad en Servicios Web para .Net - Willy .Net

More documents

Recommendations

Info

Ilustración 10.4Configurar la seguridad de un servicio Web ASP.NETConfigurar los parámetros de IISPara obtener información pormenorizada acerca de cómo configurar los parámetrosde seguridad de IIS, consulte el apartado "Configurar la seguridad" del capítulo 8,"Seguridad de ASP.NET"; la información que encontrará es válida también para losservicios Web ASP.NET.Configurar los parámetros de ASP.NETLos parámetros de configuración de la aplicación se almacenan en archivosWeb.config, ubicados en el directorio raíz virtual del servicio Web. Es precisoconfigurar los siguientes parámetros:1. Configure la autenticación. Debe establecerse para cada servicio Web (noen el archivo Machine.config) del archivo Web.config ubicado en el directorioraíz virtual del servicio Web.Nota: los servicios Web no son compatibles actualmente con la autenticaciónmediante Formularios y la autenticación de Passport. Si decide utilizar laautenticación personalizada o de mensajes, establezca el modo en ninguna.2. Configure la suplantación y la autorización. Si desea obtener informacióndetallada, consulte "Configurar la seguridad" en el capítulo 8, "Seguridad deASP.NET."Más informaciónPara obtener más información acerca de la autorización mediante direcciones URL,consulte "Notas acerca de la autorización mediante direcciones URL" en el capítulo8, "Seguridad de ASP.NET".Proteger recursosDebería utilizar las mismas técnicas que se describen en el capítulo 8, "Seguridad deASP.NET", para proteger los recursos Web Además, valore la posibilidad de eliminarlos protocolos HTTP-GET y HTTP-POST del archivo Machine.config de losservidores de producción cuando utilice los servicios Web.Deshabilitar HTTP-GET y HTTP-POSTDe forma predeterminada, los clientes se comunican con los servicios Web ASP.NETmediante tres protocolos: HTTP-GET, HTTP-POST y SOAP a través de HTTP.Deshabilite la compatibilidad para los protocolos HTTP-GET y HTTP-POST en elnivel de equipo de los equipos de producción en los que no sean necesarios. De estaforma conseguirá evitar posibles problemas de seguridad que podrían permitir queuna página Web mal intencionada obtenga acceso a un servicio Web interno que seejecute detrás de un servidor de seguridad.Nota: deshabilitar estos protocolos implica que los clientes nuevos no podráncomprobar un servicio Web XML mediante el botón Invocar de la página deprueba del servicio Web. En su lugar, deberá crear un programa cliente decomprobación. Para hacerlo, agregue una referencia al servicio Web mediante elsistema de desarrollo Microsoft Visual Studio® .NET. Quizás desee mantener
habilitados estos protocolos en los equipos de desarrollo a fin de que losdesarrolladores sean capaces de utilizar la página de comprobación. Para deshabilitar los protocolos HTTP-GET y HTTP-POST en todo unequipo1. Modifique el archivo Machine.config.2. Elimine los comentarios de las líneas del elemento queagregan compatibilidad para los protocolos HTTP-GET y HTTP-POST. Cuandohaya acabado, el archivo Machine.config debería ofrecer el siguiente aspecto.3. Guarde el archivo Machine.config.Nota: en algunos casos especiales en los que clientes de servicios Web secomunican con un servicio Web que utiliza el protocolo HTTP-GET o HTTP-POST,es posible agregar la compatibilidad necesaria para dichos protocolos desde elarchivo Web.config de la aplicación, con sólo crear un elemento yagregar compatibilidad para los protocolos con los elementos y ,tal como se ha mostrado anteriormente.Más informaciónSi desea obtener información detallada acerca de cómo proteger recursos, consulte"Proteger recursos" en el capítulo 8, "Seguridad de ASP.NET".Comunicación seguraUtilice una combinación de SSL e IPSec para proteger los vínculos de comunicación.Más informaciónPara obtener información acerca de cómo llamar a un servicio Web medianteSSL, consulte "Cómo llamar a un servicio Web con SSL" en la sección dereferencia de este manual.Para obtener información acerca de cómo utilizar IPSec entre dos equipos,consulte "Cómo utilizar IPSec para garantizar una comunicación segura entredos servidores" en la sección de referencia de este manual.Transmitir credenciales para la autenticación deservicios WebLas llamadas a los servicios Web se efectúan mediante un proxy de servicio Web, unobjeto local que expone el mismo conjunto de métodos que el servicio Web dedestino.
Page 1 and 2: De la seguridad en Servicios Web pa
Page 3 and 4: mecanismos de transporte y la confi
Page 5 and 6: Arquitectura de seguridad paraplata
Page 7 and 8: Estrategias de autenticación y aut
Page 9 and 10: Más informaciónSi desea obtener m
Page 11: amenaza en caso de que un intruso p
Page 15 and 16: En este ejemplo, el tipo de autenti
Page 17 and 18: Utilice el código presentado a con
Page 19 and 20: Deshabilitar el accesoanónimo para
Page 21 and 22: - O bien -Para utilizar laautentica
Page 23 and 24: lleguen al servicio Web. En el serv
Page 25 and 26: Obtener acceso a recursos del siste
Page 27 and 28: {Insert figure: CH10 - Web Service
Page 29 and 30: Una aplicación Web que se ejecuta

De la seguridad en Servicios Web para .Net - Willy .Net

Create successful ePaper yourself

Delete template?

Save as template?