Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jetzt eine Sicherheitsanalyse der Kommunikationsplattform für Microsoft Windows Systeme "Windows Communication Foundation (WCF)" durchgeführt. Zudem wurden eine praxisorientierte Beispielanwendung zur sicheren Nutzung der WCF-Sicherheitsfunktionen erarbeitet und zusätzlich erforderliche Sicherheitsmaßnahmen abgeleitet. Zusammen mit den WCF-Sicherheitsfunktionen ermöglichen die ergänzenden Handlungsempfehlungen des BSI den sicheren interoperablen Einsatz verteilter Systeme auf der neuen Microsoft-Anwendungsplattform ".NET 3.0". Die Analyseergebnisse, die Handlungsempfehlungen sowie der Quellcode der WCF-Beispielanwendung können per E-Mail an os-security@bsi.bund.de angefordert werden.
Die Windows Communication Foundation (WCF), auch bekannt unter dem früheren Codenamen Indigo, ist eine dienstorientierte Kommunikationsplattform für verteilte Anwendungen. Sie wurde als Kernbestandteil der neuen Microsoft-Anwendungsplattform ".NET 3.0" Ende 2006 fertig gestellt und führt unterschiedliche Kommunikationstechnologien standardisiert mit einer einheitlichen Programmierschnittstelle zusammen. Die WCF wurde ursprünglich für Microsoft Windows Vista entwickelt, ist aber auch für Windows XP und Windows Server 2003 verfügbar.
Sicherheit für verteilte Anwendungen
Das zuverlässige und sichere Zusammenspiel der verteilten service-orientierten Anwendungen erfordert entsprechende Sicherheitsvorkehrungen zum Beispiel bei der Verteilung von Lösungen auf Servern oder den Berechtigungskonzepten. Ausgehend von einer Bedrohungsmodellierung über die konkrete Implementierung einer Beispielanwendung bis hin zu spezifischen Fragen der Verteilung von Anwendungskomponenten auf Zielsystemen untersuchte das BSI die WCF-Sicherheitsfunktionen. In Zusammenarbeit mit der newtelligence AG (www.newtelligence.com), Korschenbroich, entwickelte das BSI Handlungsempfehlungen und eine beispielhafte praxisorientierte WCF-Anwendung zur sicheren Nutzung der WCF-Sicherheitsfunktionen sowie zur Umsetzung zusätzlich notwendiger Maßnahmen.
BSI im Dialog mit Microsoft
Entscheidend für die Qualität der erzielten Ergebnisse war die intensive Diskussion des BSI mit den WCF-Entwicklern bei Microsoft in Redmond, USA. Die Grundlage für die Zusammenarbeit bildete das "Technology Adoption Program" für WCF, dem das BSI 2005 beigetreten ist. Dadurch erhielt das BSI bereits in der Entwicklungsphase detaillierten Einblick in die WCF. Im Dialog mit den WCF-Entwicklern konnte ein wichtiger Beitrag zur Erhöhung der IT-Sicherheit von verteilten Anwendungen auf der .NET-Plattform erreicht werden.
Interessenten können per E-Mail-Anfrage an os-security@bsi.bund.de die Handlungsempfehlungen des BSI zum sicheren Einsatz der Windows Communication Foundation (WCF) beziehen. Die Empfehlungen umfassen neben den Hinweisen zu WCF-spezifischen Architekturen, zur sicheren Installation, Authentisierung und zur Anbindung von Datenbanken oder der Fehlerbehandlung in verteilten Systemen auch auch den Quellcode der beispielhaften WCF-Anwendung. Ansprechpartner für Presseanfragen ist Matthias Gärtner unter presse@bsi.bund.de.
Die Windows Communication Foundation (WCF), auch bekannt unter dem früheren Codenamen Indigo, ist eine dienstorientierte Kommunikationsplattform für verteilte Anwendungen. Sie wurde als Kernbestandteil der neuen Microsoft-Anwendungsplattform ".NET 3.0" Ende 2006 fertig gestellt und führt unterschiedliche Kommunikationstechnologien standardisiert mit einer einheitlichen Programmierschnittstelle zusammen. Die WCF wurde ursprünglich für Microsoft Windows Vista entwickelt, ist aber auch für Windows XP und Windows Server 2003 verfügbar.
Sicherheit für verteilte Anwendungen
Das zuverlässige und sichere Zusammenspiel der verteilten service-orientierten Anwendungen erfordert entsprechende Sicherheitsvorkehrungen zum Beispiel bei der Verteilung von Lösungen auf Servern oder den Berechtigungskonzepten. Ausgehend von einer Bedrohungsmodellierung über die konkrete Implementierung einer Beispielanwendung bis hin zu spezifischen Fragen der Verteilung von Anwendungskomponenten auf Zielsystemen untersuchte das BSI die WCF-Sicherheitsfunktionen. In Zusammenarbeit mit der newtelligence AG (www.newtelligence.com), Korschenbroich, entwickelte das BSI Handlungsempfehlungen und eine beispielhafte praxisorientierte WCF-Anwendung zur sicheren Nutzung der WCF-Sicherheitsfunktionen sowie zur Umsetzung zusätzlich notwendiger Maßnahmen.
BSI im Dialog mit Microsoft
Entscheidend für die Qualität der erzielten Ergebnisse war die intensive Diskussion des BSI mit den WCF-Entwicklern bei Microsoft in Redmond, USA. Die Grundlage für die Zusammenarbeit bildete das "Technology Adoption Program" für WCF, dem das BSI 2005 beigetreten ist. Dadurch erhielt das BSI bereits in der Entwicklungsphase detaillierten Einblick in die WCF. Im Dialog mit den WCF-Entwicklern konnte ein wichtiger Beitrag zur Erhöhung der IT-Sicherheit von verteilten Anwendungen auf der .NET-Plattform erreicht werden.
Interessenten können per E-Mail-Anfrage an os-security@bsi.bund.de die Handlungsempfehlungen des BSI zum sicheren Einsatz der Windows Communication Foundation (WCF) beziehen. Die Empfehlungen umfassen neben den Hinweisen zu WCF-spezifischen Architekturen, zur sicheren Installation, Authentisierung und zur Anbindung von Datenbanken oder der Fehlerbehandlung in verteilten Systemen auch auch den Quellcode der beispielhaften WCF-Anwendung. Ansprechpartner für Presseanfragen ist Matthias Gärtner unter presse@bsi.bund.de.
