Migración a Asp.Net

Motivación

El desarrollo de aplicaciones web seguras se está convirtiendo en una tarea cada vez más difícil debido a la creciente complejidad y variedad de servicios ofrecidos a través de Internet. La seguridad de las aplicaciones web no es sólo responsabilidad del administrador de sistemas, encargado de la infraestructura y redes, sino también del desarrollador. ASP.NET y .NET Framework ofrecen una gran variedad y riqueza de funcionalidades de seguridad, como la seguridad de acceso a código y la seguridad basada en roles, soporte nativo para autenticación basada en formularios, herramientas para creación de servicios web seguros, acceso seguro a bases de datos y un largo etcétera tratado en profundidad a lo largo de este curso.

Objetivo

Al finalizar el curso los programadores deben ser capaces de conocer los errores de seguridad más comunes que se cometen al desarrollar aplicaciones web en ASP.NET, así como la manera de evitarlos. Se hace especial incidencia en las ventajas respecto a la seguridad de una buen diseño de la aplicación en las tres capas de presentación, lógica de negocio y datos. Se presta atención a las nuevas características de seguridad introducidas por .NET Framework

Características generales

Se entrega un manual de documentación en castellano y un CD-ROM con las numerosas herramientas utilizadas durante el curso. Cada asistente dispone de un ordenador con Windows 2003 Server, SQL Server 2000 y Visual Studio .NET.

El curso es eminentemente práctico y parte de una aplicación web existente y que se ha escrito sin tener en cuenta consideraciones de programación segura. Sobre esta aplicación que presenta las vulnerabilidades más frecuentes en el mundo real se va trabajando hasta conseguir una aplicación robusta desde el punto de vista de seguridad

1. Introducción a la seguridad en la plataforma .NET

La plataforma .NET proporciona como una de sus características más destacadas una robusta infraestructura de seguridad que facilita tanto a los desarrolladores, como administradores y usuarios finales, un mayor control sobre el código que se ejecuta en sus sistemas. En este primer módulo aprenderá los fundamentos de la seguridad en el acceso a código (CAS), basada en la identidad de código, en oposición a la identidad de usuario

• Restricciones de seguridad: identidad de código vs. identidad de usuario
• Autenticación: acumulación de evidencias para identificación del código
• Autorización: clases de permisos en .NET
• Recorridos de pila
• Directivas de seguridad de código, grupos de código y niveles de directiva
• Nombres fuertes y firma de ensamblados de código
• Verificación y validación de ensamblados
• Modelo de seguridad para aplicaciones ASP.NET

2. Acceso seguro a datos y almacenamiento de secretos en ASP.NET

La mayor parte de aplicaciones web hoy en día necesitan acceder a bases de datos para obtener información sobre productos, servicios, clientes, etc., y presentar a partir de ella páginas dinámicas. En este módulo aprenderá cómo configurar el servidor web (IIS y ASP.NET) y utilizar ADO.NET para acceder a los datos de forma segura. Se explica además cómo almacenar y acceder a secretos de forma segura.

• Acceso a BD de datos mediante ADO.NET
• Acceso no autorizado a BD a través de la revelación de la cadena de conexión
• Formas seguras de acceder a la BD
• Almacenamiento seguro de secretos

3. Autenticación mediante formularios en ASP.NET

La autenticación y autorización resultan fundamentales en toda aplicación web en la que se desee restringir lo que los usuarios pueden hacer. La autenticación permite conocer la identidad de quienes se conectan al servidor. La autorización permite verificar qué privilegios tiene asignados cada usuario y saber así qué acciones le están permitidas. Una vez detectada la necesidad de autenticar y autorizar a los usuarios, surge la importante cuestión de decidir cómo se llevan a cabo. ASP.NET incluye todo un conjunto de nuevas funcionalidades para simplificar la creación de aplicaciones que autentican a sus usuarios mediante formularios.

• Autenticación mediante formularios básica
• Autenticación mediante formularios y XML
• Autenticación mediante formularios y base de datos
• Autenticación mediante formularios y tickets personalizados
• Autenticación mediante formularios sin cookies
• Protección de contenido distinto de páginas .aspx
• Autenticación mediante formularios y autorización basada en roles
• Autenticación mediante formularios en granjas de servidores
• Directivas de seguridad de contraseñas
• Conservación de información de sesión
• Ataques contra las distintas formas de autenticación y defensa

4. Criptografía en ASP.NET

Hasta la llegada de .NET, programar aplicaciones que incorporasen sencillas operaciones criptográficas, como cifrar o calcular hashes, se convertía en una tarea complicada y propensa a errores. Gracias a .NET, ya no es necesario recurrir al uso de la críptica CryptoAPI o al costoso diseño desde cero. Las nuevas clases de .NET que se explican en este módulo facilitan sobremanera la programación de criptografía.

• Clases criptográficas de .NET
• Criptografía de clave secreta
• Hashes y hashes con clave
• Criptografía de clave pública autenticación

5. Seguridad en servicios web XML desarrollados con .NET

Los servicios web XML facilitan la comunicación entre sitios web y aplicaciones que necesitan acceder a los contenidos ofrecidos por el sitio web. Diseñados sobre estándares abiertos como HTTP, XML y SOAP, permiten la comunicación independientemente de la plataforma utilizada. Pero al exponer interfaces y estar disponibles para todo el mundo y fácilmente accesible, se plantean nuevos desafíos de seguridad. En este módulo se explican algunas de las formas más eficientes de proteger sus servicios web utilizando la plataforma .NET

• Introducción a los servicios web
• Seguridad en el acceso a servicios web: mecanismos de autenticación
• Seguridad en las comunicaciones con servicios web: SSL
• Firmas, cifrado y especificaciones de gestión de claves en XML