eBook Gratis

Tra gli argomenti trattati:

• Autenticazione, per identificare i client della vostra applicazione
• Autorizzazione, per fornire controlli di accesso ai client
• Comunicazione sicura, per garantire che i messaggi rimangano privati e non siano alterati da soggetti non autorizzati
• Protezione di applicazioni intranet, extranet, Internet
• Creazione di un account personalizzato per l'esecuzione
• Utilizzo della protezione basata sui ruoli mediante Enterprise Services
• Hosting di un oggetto remoto in un servizio di Windows
• Protezione delle applicazioni Web in ambiente .NET

Per chi e' questo libro: Sviluppatori che scrivono o progettano applicazioni Web .NET utilizzando ASP .NET, servizi Web XML, Enterprise Services (COM+), Remoting .NET o Microsoft ADO .NET.

Prefazione
Panoramica

Capitolo 1 Introduzione
Il mondo delle connessioni
Finalita'
Obiettivi della guida
Come leggere la guida
Organizzazione della guida
Parte I - Modelli di protezione
Parte II - Scenari applicativi
Parte III - Protezione a tutti i livelli
Parte IV - Informazioni di riferimento
Terminologia di base
Principi
Riepilogo

Capitolo 2 Modello di protezione per le applicazioni ASP .NET
Applicazioni Web .NET
Livelli logici
Modelli di deployment fisico
Tecnologie di implementazione
ASP .NET
Enterprise Services
Servizi Web
.NET Remoting
ADO .NET e SQL Server 2000
IPSec (Internet Protocol Security)
SSL (Secure Sockets Layer)
Architettura di protezione
Protezione nei diversi livelli
Autenticazione
Autorizzazione
Gatekeeper e gate
Identita' e principal
Riepilogo

Capitolo 3 Autenticazione e autorizzazione
Definizione di una strategia di autenticazione e autorizzazione
Identificazione delle risorse
Scelta della strategia di autorizzazione
Scelta delle identita' da utilizzare per l'accesso alle risorse
Valutazione dell'opportunita' del trasferimento dell'identita'
Scelta del criterio di autenticazione
Scelta della modalita' di trasferimento dell'identita'
Criteri di autorizzazione
Basata sui ruoli
Basata sulle risorse
Modelli di accesso alle risorse
Modello di sottosistema basato su trust
Modello di rappresentazione/delega
Scelta del modello di accesso alle risorse
Trasferimento dell'identita'
Trasferimento dell'identita' al livello dell'applicazione o del sistema operativo
Rappresentazione e delega
Autorizzazione basata sui ruoli
Ruoli .NET
Ruoli Enterprise Services (COM+)
Ruoli di database SQL Server definiti dall'utente
Ruoli applicativi di SQL Server
Ruoli .NET e ruoli Enterprise Services (COM+)
Utilizzo dei ruoli .NET
Scelta del meccanismo di autenticazione
Scenari relativi a Internet
Scenari relativi a Intranet ed Extranet
Confronto tra meccanismi di autenticazione
Riepilogo

Capitolo 4 Comunicazione protetta
Sapere cosa leggere
SSL/TLS
Utilizzo di SSL
IPSec
Utilizzo di IPSec
Crittografia RPC
Utilizzo della crittografia RPC
Protezione point-to-point
Da browser a server Web
Da server Web a server di applicazioni remoto
Da server di applicazioni a server di database
Scelta di IPSec o SSL
Farm e bilanciamento del carico
Riepilogo

Capitolo 5 Protezione di applicazioni Intranet
Da ASP .NET a SQL Server
Caratteristiche
Protezione dello scenario
Risultati
Procedure di configurazione della protezione
Analisi
Domande e risposte
Scenari correlati
Da ASP .NET a Enterprise Services a SQL Server
Caratteristiche
Protezione dello scenario
Risultati
Procedure di configurazione della protezione
Analisi
Problemi
Da ASP .NET a Servizi Web a SQL Server
Caratteristiche
Protezione dello scenario
Risultati
Procedure di configurazione della protezione
Analisi
Problemi
Domande e risposte
Da ASP .NET a .NET Remoting a SQL Server
Caratteristiche
Protezione dello scenario
Risultati
Procedure di configurazione della protezione
Analisi
Problemi
Trasferimento del chiamante originale al database
Da ASP .NET a SQL Server
Da ASP .NET a Enterprise Services a SQL Server
Risultati
Analisi
Problemi
Riepilogo

Capitolo 6 Protezione di applicazioni Extranet
Esposizione di un servizio Web
Caratteristiche
Protezione dello scenario
Risultato
Procedura per la configurazione della protezione
Analisi
Problemi
Domande e risposte
Esposizione di un'applicazione Web
Protezione dello scenario
Risultato
Analisi
Problemi
Riepilogo

Capitolo 7 Protezione di applicazioni Internet
Da ASP .NET a SQL Server
Caratteristiche
Protezione dello scenario
Risultato
Procedura per la configurazione della protezione
Analisi
Problemi
Scenari correlati
Da ASP .NET a istanze remote di Enterprise Services a SQL Server
Caratteristiche
Protezione dello scenario
Risultato
Procedura per la configurazione della protezione
Analisi
Problemi
Scenari correlati
Riepilogo

Capitolo 8 Protezione di ASP .NET
Protezione di ASP .NET
Architettura della protezione di ASP .NET
Gatekeeper
Strategie di autenticazione e autorizzazione
Opzioni di autorizzazione disponibili
Autenticazione di Windows con rappresentazione
Autenticazione di Windows senza rappresentazione
Autenticazione di Windows tramite un'identita' fissa
Autenticazione basata su moduli
Autenticazione Passport
Configurazione della protezione
Configurazione delle impostazioni IIS
Configurazione delle impostazioni ASP .-NET
Protezione delle risorse
Comunicazione protetta
Programmazione della protezione
Un modello di autorizzazione
Creazione di una classe IPrincipal personalizzata
Autenticazione di Windows
Autenticazione basata su moduli
Procedura di sviluppo per l'autenticazione basata su moduli
Indicazioni sull'implementazione dei moduli
Hosting di piu' applicazioni con l'autenticazione basata su moduli
Autenticazione basata su moduli senza cookie
Autenticazione Passport
Autenticazione personalizzata
Identita' del processo per ASP .NET
Utilizzo di un account con privilegi minimi
Evitare l'esecuzione come SYSTEM
Utilizzo dell'account predefinito ASP .NET
Rappresentazione
Rappresentazione e risorse locali
Rappresentazione e risorse remote
Rappresentazione e threading
Accesso alle risorse di sistema
Accesso al registro eventi
Accesso al registro di sistema
Oggetti del modello Apartment
Accesso alle risorse di rete
Utilizzo dell'identita' del processo ASP .NET
Utilizzo di un componente servito
Utilizzo dell'account utente Internet anonimo
Utilizzo di LogonUser e rappresentazione di una specifica identita' di Windows
Utilizzo del chiamante originale
Accesso ai file in una condivisione di file UNC
Accesso alle risorse di rete diverse da Windows
Comunicazione protetta
Memorizzazione di chiavi segrete
Opzioni per la memorizzazione di chiavi segrete in ASP .NET
Memorizzazione delle chiavi segrete in file su volumi logici distinti
Protezione dello stato di sessione e visualizzazione
Protezione dello stato di visualizzazione
Protezione dei cookie
Protezione dello stato di sessione SQL
Considerazione sulle Web farm
Stato di sessione
DPAPI
Utilizzo dell'autenticazione basata su moduli in una Web farm
L'elemento < machineKey >
Riepilogo

Capitolo 9 Protezione di Enterprise Services
Architettura di protezione
Gatekeeper e gate
Utilizzo delle applicazioni server per maggiore sicurezza
Protezione delle applicazioni server e libreria
Requisiti di protezione dell'acceso al codice
Configurazione della protezione
Configurazione di un'applicazione server
Configurazione di un'applicazione client ASP .NET
Configurazione dei livelli di rappresentazione per un'applicazione Enterprise Services
Programmazione della protezione
Protezione basata su ruoli a livello di programmazione
Identificazione dei chiamanti
Scelta dell'identita' del processo
Non eseguire mai come utente interattivo
Utilizzo di un account personalizzato con privilegi minimi
Accesso alle risorse di rete
Utilizzo del chiamante originale
Utilizzo dell'identita' del processo corrente
Utilizzo di un account di servizio specifico
Trasferimento del chiamante originale
Chiamata a ColmpersonateClient
Crittografia RPC
Creazione dei componenti serviti
DCOM e firewall
Chiamata ai componenti serviti da ASP .NET
Identita' del chiamante
Utilizzo dell'autenticazione di Windows e della rappresentazione all'interno dell'applicazione Web
Configurazione dell'autenticazione e della rappresentazione nel file machine .config
Configurazione dei proxy di interfaccia
Criteri di protezione
Ruoli Enterprise Services (COM+) e ruoli .NET
Autenticazione
Rappresentazione
Riepilogo

Capitolo 10 Protezione dei servizi Web
Il modello WS-Security
Protezione (point-to-point) a livello di piattaforma/trasporto
Protezione a livello di applicazione
Protezione a livello di messaggi (end-to-end)
Architettura di protezione di piattaforma/trasporto
Gatekeeper
Strategie di autenticazione e autorizzazione
Autenticazione di Windows con rappresentazione
Autenticazione di Windows senza rappresentazione
Autenticazione di Windows tramite un'identita' fissa
Configurazione della protezione
Configurazione delle impostazioni IIS
Configurazione delle impostazioni ASP .NET
Protezione delle risorse
Disattivazione di HTTP-GET e HTTP-POST
Comunicazione protetta
Scambio di credenziali per l'autenticazione nei servizi Web
Specifica delle credenziali del client per l'autenticazione di Windows
Chiamata ai servizi Web da client diversi dai client Windows
Autenticazione del server proxy
Trasferimento del chiamante originale
Credenziali predefinite originale
Credenziali predefinite con la delega Kerberos
Credenziali esplicite con l'autenticazione di base o basata su moduli
Sottosistema basato su trust
Trasmissione dell'identita' del chiamante
Operazioni di configurazione
Accesso alle risorse di sistema
Accesso alle risorse di rete
Accesso agli oggetti COM
Utilizzo del modello del sottosistema basato su trust
Comunicazione protetta
Riepilogo

Capitolo 11 Protezione di .NET Remoting
Architettura di .NET Remoting
Sink di .NET Remoting
Anatomia di una richiesta quando l'hosting e' eseguito in ASP .NET
ASP .NET e il canale HTTP
Gatekeeper di .NET Remoting
Autenticazione
L'hosting in ASP .NET
L'hosting in un servizio di Windows
Autorizzazione
Utilizzo dell'autorizzazione del file
Strategie di autenticazione e autorizzazione
Accesso alle risorse di sistema
Accesso alle risorse di rete
Scambio di credenziali per l'autenticazione negli oggetti remoti
Specifica delle credenziali del client
Trasferimento del chiamante originale
Credenziali predefinite con la delega Kerberos
Credenziali esplicite con l'autenticazione di base o basata su moduli
Sottosistema basato su trust
Trasmissione dell'identita' del chiamante
Scelta di un host
Operazioni di configurazione
Comunicazione protetta
Opzioni a livello di piattaforma
Scelta del processo host
Raccomandazione
L'hosting in ASP .NET
L'hosting in un servizio di Windows
L'hosting in un'Applicazione console
.NET Remoting e servizi Web a confronto
Riepilogo

Capitolo 12 Protezione dell'accesso ai dati
Introduzione alla protezione dell'accesso ai dati
Gatekeeeper di SQL Server
Sottosistema basato su trust e rappresentazione/delega
Autenticazione
Autenticazione di Windows
Autenticazione SQL
Autenticazione con database non SQL Server
Autorizzazione
Utilizzo di piu' ruoli del database
Comunicazione protetta
Opzioni
Scelta della soluzione ottimale
Connessione con privilegi minimi
Il database ha instaurato una relazione di trust con l'applicazione
Il database ha instaurato una relazione di trust con ruoli diversi
Il database ha instaurato una relazione di trust con il chiamante originale
Creazione di un account del database con privilegi minimi
Memorizzazione delle stringhe di connessione del database in modalita' protetta
Opzioni
Utilizzo di DPAPI
Utilizzo di web.config e machine.config
Utilizzo dei file UDL
Utilizzo di file di testo personalizzati
Utilizzo del Registro di sistema
Utilizzo del catalogo di COM+
Autenticazione di utenti con un database
Memorizzazione di hash delle password unidirezionali (con valore salt)
Attacchi mediante inserimento di codice SQL non autorizzato
Funzionalita' di controllo
Identita' di processo per SQL Server
Riepilogo

Capitolo 13 Risoluzione dei problemi di sicurezza
Processo di risoluzione dei problemi
Ricerca di soluzioni di implementazione
Risoluzione dei problemi relativi all'autenticazione
Problemi di autenticazione di IIS
Utilizzo dell'autenticazione di Windows
Utilizzo dell'autenticazione basata su moduli
Risoluzione dei problemi relativi a Kerberos
Risoluzione dei problemi relativi all'autorizzazione
Controllo degli ACL di Windows
Controllo dell'identita'
Controllo dell'elemento
ASP .NET
Attivazione della funzionalita' di analisi
Impostazioni di configurazione
Determinazione dell'identita'
Determinazione dell'identita' in una pagina Web
Determinazione dell'identita' in un servizio Web
Determinazione dell'identita' in un oggetto COM di Visual Basic 6
.NET Remoting
SSL
IPSec
Funzionalita' di controllo e di registrazione
Registri di protezione di Windows
Funzioni di controllo di SQL Server
Registrazione IIS
Strumenti per la risoluzione dei problemi
File Monitor (FileMon.exe)
Visualizzatore registro associazione assembly (Fuslogvw.exe)
ISQL.exe
Task Manager di Windows
Network Monitor (NetMon.exe)
Registry Monitor (regmon.exe)
WFetch.exe
Strumenti di Visual Studio .NET
WebServiceStudio
Windows 2000 Resource kit

Indice delle procedure
ASP .NET
Autenticazione e autorizzazione
Crittografia
Protezione di Enterprise Services
Protezione di servizi Web
Protezione remota
Comunicazione protetta

Procedura: Creazione di un account personalizzato per eseguire ASP .NET
Identita' del processo di lavoro ASP .NET
Rappresentazione di identita' fisse
Note
Riepilogo
Creazione di un nuovo account locale
Assegnazione di privilegi minimi
Assegnazione di autorizzazioni NTFS
Configurazione di ASP .NET per l'esecuzione con il nuovo account

Procedura: Utilizzo dell'autenticazione basata su moduli mediante Active Directory
Requisiti
Riepilogo
Creazione di un'applicazione Web con una pagina di accesso
Configurazione dell'applicazione Web per l'autenticazione basata su moduli
Sviluppo del codice di autenticazione LDAP per individuare l'utente in Active Directory
Sviluppo del codice di recupero dei gruppi LDAP per individuare il gruppo di appartenenza dell'utente
Autenticazione dell'utente e creazione del ticket per l'autenticazione basata su moduli
Implementazione di un gestore di richieste di autenticazione per creare un oggetto GenericPrincipal
Test dell'applicazione

Procedura: Utilizzo dell'autenticazione basata su moduli mediante SQL Server 2000
Requisiti
Riepilogo
Creazione di un'applicazione Web con una pagina di accesso
Configurazione dell'applicazione Web per l'autenticazione basata su moduli
Sviluppo di funzioni per generare un hash e un valore salt
Creazione di un database di account utente
Utilizzo di ADO .NET per archiviare i dettagli degli account nel database
Autenticazione delle credenziali utente rispetto al database
Test dell'applicazione
Altre risorse

Procedura: Creazione di oggetti GenericPrincipal mediante l'autenticazione basata su moduli
Requisiti
Riepilogo
Creazione di un'applicazione Web con una pagina di accesso
Configurazione dell'applicazione Web per l'autenticazione basata su moduli
Generazione di un ticket di autenticazione per gli utenti autenticati
Creazione di oggetti GenericPrincipal e FormsIdentity
Test dell'applicazione
Altre risorse

Procedura: Implementazione della delega Kerberos per Windows 2000
Note
Requisiti
Riepilogo
Verifica della configurazione dell'account del client per la delega
Verifica dell'account del processo del server per controllare se e' trusted per la delega
Materiale di riferimento

Procedura: Implementazione di IPrincipal
Requisiti
Riepilogo
Creazione di una semplice applicazione Web
Configurazione dell'applicazione Web per l'autenticazione basata su moduli
Generazione di un ticket di autenticazione per gli utenti autenticati
Creazione di una classe che implementa ed estende IPrincipal
Creazione dell'oggetto CustomPrincipal
Test dell'applicazione
Altre risorse

Procedura: Creazione di una libreria DPAPI
Note
Requisiti
Riepilogo
creazione di una libreria di classi C#
Assegnazione di un nome sicuro all'assembly (facoltativo)
Materiale di riferimento

Procedura: utilizzo dell'interfaccia DPAPI (archivio del computer) da ASP .NET
Note
Requisiti
Riepilogo
Creazione di un'applicazione Web client ASP .NET
Test dell'applicazione
Modifica dell'applicazione Web per leggere una stringa di connessione crittografia dal file web.Config
Materiale di riferimento

Procedura: Utilizzo dell'interfaccia DPAPI (archivio utente) da ASP .NET con Enterprise Services
Note
Motivi dell'utilizzo di Enterprise Services
Motivi dell'utilizzo di un servizio di Windows
Requisiti
Riepilogo
Creazione di un componente servito che fornisce i metodi Encrypt e Decrypt
Chiamata alla libreria di classi gestita DPAPI
Creazione di una classe fittizia per avviare il componente servito
Creazione di un account di Windows per eseguire l'applicazione di Enterprise Services e il servizio di Windows
Configurazione, assegnazione di un nome sicuro e registrazione del componente servito
Creazione di un'applicazione di servizio di Windows per avviare il componente servito
Installazione e avvio dell'applicazione del servizio di Windows
Scrittura di un'applicazione Web per eseguire il test delle routine di crittografia e decifratura
Modifica dell'applicazione Web per leggere una stringa di connessione crittografata in un file di configurazione dell'applicazione
Materiale di riferimento

Procedura: Creazione di una libreria di crittografia
Requisiti
Riepilogo
Creazione di una libreria di classi C#
Creazione di un'applicazione console di prova
Materiale di riferimento

Procedura: Archiviazione di una stringa di connessione crittografata nel Registro di sistema
Note
Requisiti
Riepilogo
Archiviazione di dati crittografati nel registro di sistema
Creazione di un'applicazione Web ASP .NET
Materiale di riferimento

Procedura: Utilizzo della protezione basata sui ruoli mediante Enterprise Services
Note
Requisiti
Riepilogo
Creazione di un'applicazione Libreria di classi C# per ospitare il componente servito
Creazione del componente servito
Configurazione del componente servito
Generazione di un nome sicuro per l'assembly
Creazione dell'assembly e relativa aggiunta nella cache globale degli assembly
Registrazione manuale del componente servito
Analisi dell'applicazione configurata
Creazione di un'applicazione client di prova

Procedura: Chiamata a un servizio Web mediante l'utilizzo di certificati client da ASP .NET
Motivi dell'utilizzo di un componente servito
Motivi della necessita' di un profilo utente
Requisiti
Riepilogo
Creazione di un servizio Web semplice
Configurazione della directory virtuale del servizio Web per richiedere certificati client
Creazione di un account personalizzato per eseguire il componente servito
Richiesta di un certificato client per l'account personalizzato
Test del certificato client mediante un browser
Esportazione del certificato client in un file
Sviluppo del componente servito utilizzando per chiamare il servizio Web
Configurazione e installazione del componente servito
Sviluppo di un'applicazione Web per chiamare il componente servito
Altre risorse

Procedura: Chiamata a un servizio Web mediante l'utilizzo di SSL
Requisiti
Riepilogo
Creazione di un semplice servizio Web
Configurazione della directory virtuale del servizio Web per SSL
Test del servizio Web mediante un browser
Installazione del certificato dell'autorita' di certificazione nel computer client
Sviluppo di un'applicazione Web per chiamare il servizio Web
Altre risorse

Procedura: Hosting di un oggetto remoto in un servizio di Windows
Note
Requisiti
Riepilogo
Creazione della classe di oggetti remoti
Creazione di un'applicazione host di servizio di Windows
Creazione di un account di Windows per eseguire il servizio
Installazione del servizio di Windows
Creazione di un'applicazione client di prova
Materiale di riferimento

Procedura: Installazione di SSL in un server Web
Requisiti
Riepilogo
Generazione di una richiesta di certificato
Invio di una richiesta di certificato
Rilascio del certificato
Installazione del certificato nel server Web
Configurazione delle risorse per l'accesso SSL

Procedura: Installazione di certificati client
Requisiti
Riepilogo
Creazione di una semplice applicazione web
Configurazione dell'applicazione Web per richiedere certificati client
Richiesta e installazione di un certificato client
Verifica del funzionamento del certificato client
Altre risorse

Procedura: Utilizzo di IPSec per la comunicazione protetta tra due server
Note
Requisiti
Riepilogo
Creazione di un filtro IP
Creazione di operazioni filtro
Creazione di regole
Esportazione del criterio IPSec nel computer remoto
Assegnazione dei criteri
Verifica del funzionamento
Altre risorse

Procedura: Utilizzo di SSL per proteggere la comunicazione con SQL Server 2000
Note
Requisiti
Riepilogo
Installazione di un certificato di autenticazione server
Verifica dell'installazione del certificato
Installazione del certificato dell'autorita' di certificazione emittente nel client
Utilizzo forzato di SSL in tutti i client
Configurazione dei client per determinare se utilizzare o meno SSL
Verifica della crittografia della comunicazione
Altre risorse

Configurazione di base

Archivi e strumenti di configurazione

Informazioni di riferimento
Esecuzione di ricerche nella Knowledge Base
Suggerimenti
Protezione di .NET
Informazioni di riferimento
Active Directory
Informazioni di riferimento
Note chiave
Articoli
ADO .NET
Guide orientative e panoramiche
Seminari e WebCast
ASP .NET
Informazioni di riferimento
Guide orientative e panoramiche
Knowledge Base
Articoli
Procedure dettagliate (HOWTO)
Seminari e WebCast
Enterprise Services
Knowledge Base
Guide orientative e panoramiche
Procedure dettagliate (HOWTO)
Domande frequenti (FAQ)
Seminari e WebCast
IIS (Internet Information Server)
Informazioni di riferimento
.NET Remoting
Guide orientative e panoramiche
Procedure dettagliate (HOWTO)
Seminari e WebCast
SQL Server
Informazioni di riferimento
Seminari e WebCast
Visual Studio .NET
Informazioni di riferimento
Guide orientative e panoramiche
Servizi Web
Informazioni di riferimento
Guide orientative e panoramiche
Procedure dettagliate (HOWTO)
Seminari e WebCast
Windows 2000
Informazioni di riferimento

Approfondimento di concetti chiave
Elaborazione di IIS e ASP .NET
Isolamento delle applicazioni
Estensione ISAPI di ASP .NET
IIS 6.0 e Windows Server 2003
Elaborazione delle pipeline ASP .NET
Struttura di una richiesta Web
Gestione degli eventi
Installazione di un modulo HTTP personalizzato
Installazione di un gestore HTTP personalizzato

Matrice dell'identita' ASP .NET

Chiavi e certificati
Certificati digitali X.509
Archivi di certificati
Ulteriori informazioni
Crittografia
Scelte tecniche
Crittografia di .NET
Riepilogo

Protezione delle applicazioni Web .NET

Glossario