יום שבת, 29 בספטמבר 2012

Web Service Authentication ASP.NET




יש לי חיבה רבה ל Web Services במיוחד של Soap והחלטתי לכתוב מאמר שיסביר כיצד ניתן להגן עליו בסביבה כל כך עויינת שנקראת אינטרנט, אבל לפני שנקפוץ למים העמוקים נעבור בבריכת הילדים על מנת להבין מדוע אנחנו צריכים לשמור על ה Web Services שלנו.

אז כמו שאתם יודעים (בתקווה...) Web Service מכיל בתוכו פונקציות מרוחקות שממקומות בשרת שנותן שירותים לתוכניות שמבצעות קריאות לאותן פונקציות (API) ובעצם מחלקים את תחומי האחריות של התוכנית ובונים מרכז לוגי משותף לכל התוכניות שצריכות שירות מה Service ללא תלות בארכיטקטורה.

נבנה פרויקט חדש ב Visual Studio.



מבנה הפרוייקט


נערוך את קובץ Service1.asmx ונוסיף לתוכו 3 פונקציות:

  public class Service1 : System.Web.Services.WebService
    {
        [WebMethod]
        public string restricted_functionA()
        {
            return "restricted_functionA";
        }

        [WebMethod]
        public string restricted_functionB()
        {
            return "restricted_functionA";
        }

        [WebMethod]
        public string restricted_functionC()
        {
            return "restricted_functionA";
        }
    }


נריץ את ה Web Service בדפדפן ונגיע לדף Webservice1.asmx  שחושף לנו את הפונקציות של ה Web Service , כאן בעצם יש בעייה , אנחנו ממש לא מעוניינים לחשוף את הפונקציות של ה Service שלנו לכל אחד ובמיוחד לא לחשוף אותו בחיפושים ב Google כבר היום ניתן למצוא מליונים Web Services חשופים.


רק כדי להמחיש את הסכנה אני אשתמש ב Google ככלי פריצה וסריקה ( Google Hack) בעזרת החיפוש המתקדם במנוע ניתן לחפש חשיפות לדוגמה, אם נרשום בחיפוש filetype:asmx נקבל את כל הדפים ש Google מצא בסיומת asmx.


מכאן אנחנו מדרדרים וה Web Service שלנו חשוף מתמיד לכל אחד בכל מקום, הגיע הזמן לצאת מהבריכה של הילדים ושאריות ד.נ.א לא רצוי ולעבור לבריכה של הגדולים, קיימות מספר דרכים להגן על ה Web Service משלב ההעלמה מגוגל ותהליך Authentication מול ה Service שלנו.

חשוב לציין שאם ה Web Service שלנו משרת תוכניות שנגישות אליו מכתובות קבועות ניתן למנוע את כל הבלגן בעזרת חוק ב Firewall שיאפשר גישה ל Service רק מכתובות מוכרות, במקרה שה Service ניתן למשתמשים שלא ניתן לדעת את הכתובות שמהן הם יגיעו ל Service נצטרך לנקוט בשיטה אחרת.

קודם כל העלמת השירות מגוגל, נכתוב קובץ robots.txt ונשמור אותו בתיקייה של הפרויקט, נרשום את השורות הבאות:

User-agent: *
Disallow: /

ונמנע מ Google לסרוק את ה Service שלנו, עד כאן היה החלק הפשוט בכל הסיפור ועכשיו נתחיל את תהליך Authentication.

 Forms Authentication

הדרך הפשוטה ביותר לאבטח את ה Web Service שלנו, על מנת לגשת ל Web Service יש להפעיל את פונקצית Login בשביל להתחבר ל Service, מה שקורה בפועל שהשם משתמש והסיסמא נבדקים מול ה DB ובמקרה שהם נכונים ה Web Service רושם Cookie עם Ticket אצל ה Client.

Webservice

using System;
using System.Collections.Generic;
using System.Web;
using System.Web.Services;
using System.Web.Security;

namespace WebService1
{
    [WebService(Namespace = "http://tempuri.org/")]
    [WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
    [System.ComponentModel.ToolboxItem(false)]
    public class Service1 : System.Web.Services.WebService
    {
        private string Authenticate(string user, string pass)
        {
            //check the credential from DB or hard coded.
            if (user == "proxytype" && pass == "password")
                return "Proxytype connect";
            else
                return null;
        }

        [WebMethod]
        public bool login(string user, string pass)
        {
            string isLog = Authenticate(user, pass);

            if (isLog != null)
            {
                //return authentication cookie
                FormsAuthentication.SetAuthCookie(user, false);
                return true;
            }
            else
                return false;
        }

        [WebMethod]
        public void logout()
        {
            FormsAuthentication.SignOut();
        }

        [WebMethod]
        public string restricted_functionA()
        {
            //check if user authentication before execute
            if (Context.User.Identity.IsAuthenticated)
               return "Access Granted Restricted FunctionA";
            return "Access Denied Restricted FunctionA";
        }

        [WebMethod]
        public string restricted_functionB()
        {
            //check if user authentication before execute
            if (Context.User.Identity.IsAuthenticated)
                return "Access Granted Restricted FunctionB";
            return "Access Denied Restricted FunctionB";
        }

        [WebMethod]
        public string restricted_functionC()
        {
            //check if user authentication before execute
            if (Context.User.Identity.IsAuthenticated)
                return "Access Granted Restricted FunctionC";
            return "Access Denied Restricted FunctionC";
        }
    }
}


Client

using System;
using System.Collections.Generic;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using example1.localhost;
namespace example1
{
    public partial class _Default : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            //create new instance for the webservice
            Service1 myservice = new Service1();
            //create a cookie container for the return 
            //cookie from the web service
            myservice.CookieContainer = new System.Net.CookieContainer();
            
            myservice.login("proxytype", "password");
            Response.Write(myservice.restricted_functionA());

        }
    }
}


למרות שהמשתמש לא יכול להשתמש בפונקציות הן עדיין חשופות והמשתמש עדיין יכול לראות אותם אם הוא יכניס את הכתובת של ה Web Service בדפדפן שלו וזה עדיין לא מספיק מאובטח, המטרה שכל גישה לא מורשה תקבל הודעת שגיאה 401.1 Unauthorized, תחילה יש לשנות הגדרה ב IIS עצמו, בתגית Authentication במצב Feature View יש לבטל את ה Anonymous Authentication , ולהפעיל את ה Basic Authentication:


כשהמשתמש ינסה להכניס את הכתובת של ה Service בדפדפן הוא יצטרך להכניס שם משתמש וסיסמא , במקרה שהם לא נכונים הוא יקבל שגיאה 401.1 Unauthorized.



בשביל להעביר את ה Credentials יש לבצע מספר שינויים ב Client:

using System;
using System.Collections.Generic;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using example1.localhost;
using System.Net;
namespace example1
{
    public partial class _Default : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            //create new instance for the webservice
            Service1 myservice = new Service1();
           
            //create net credentials
            CredentialCache myCredentials = new System.Net.CredentialCache();
            NetworkCredential netCred = new NetworkCredential("proxytype", "password");

            //sign the credentials as basic authentication 
            myCredentials.Add(new Uri(myservice.Url), "Basic", netCred);
            myservice.Credentials = myCredentials;

            //create a cookie container for the return 
            //cookie from the web service
            myservice.CookieContainer = new System.Net.CookieContainer();
            
            myservice.login("proxytype", "password");
            Response.Write(myservice.restricted_functionA());
           

        }
    }
}

חשוב מאוד!  

Basic Authentication מתבסס על שמות והסיסמאות של המשתמשים שרשומים במערכת ההפעלה של ה Service, מומלץ ליצור משתמש חדש עם הרשאות מוגבלות , במקרה שאין SSL השם משתמש והסיסמא עוברים כ Clear Text והם חשופים לכל מי שמאזין על הרשת.

סיכום:

משחקי הרשאות עלולות להפוך את העסק למאוד מסורבל וחשוב מאוד לפשט כמה שאפשר את פריסת האבטחה סביב התוכנית שלנו, ניתן להשתמש בצורות Authentication נוספות כמו Windows ו Digest , כמובן לא לשכוח להשתמש ב SSL.

לא לחשוף סתם...