Consideraciones de seguridad del servicio SOAP de COM+
El servicio SOAP COM+ depende del servidor web IIS para la seguridad. Incluso en el modo de objeto activado por el cliente, un RPC COM+ no transmite la identidad del cliente y, por lo tanto, no puede usar la seguridad basada en roles ni ninguna otra característica de seguridad proporcionada por DCOM. Si desea ayudar a proteger la privacidad de los datos transmitidos a y desde su servicio web XML, o para ayudar a proteger el servicio web XML contra el acceso no autorizado, puede configurar IIS para limitar el acceso a un servicio web XML basado en una dirección IP de clientes o requerir que un cliente presente un certificado digital para comprobar su identidad. Si no limita el acceso, cualquier cliente que pueda comunicarse con el servidor web puede acceder al servicio web XML.
Puede configurar IIS para cifrar las comunicaciones del servicio web XML con clientes mediante protocolos SSL o TLS de cifrado de clave pública. Si no cifra las comunicaciones SOAP, un tercero podría observar los datos intercambiados entre un cliente y un servidor con acceso a cualquier red a través de la cual viaja la comunicación SOAP; dependiendo de la topología de red, puede ser una red LAN pequeña o puede ser Internet.
De forma predeterminada, las comunicaciones SOAP sin cifrar se reciben en el puerto HTTP (80) y las comunicaciones SOAP cifradas se reciben en el puerto HTTPS (443). Para que un cliente acceda correctamente a un servicio web XML, los firewalls entre el cliente y el servidor deben configurarse para permitir que los paquetes TCP SYN lleguen al puerto de servidor adecuado. Por el contrario, para limitar el acceso a los servicios web XML, un administrador de firewall puede optar por cerrar estos puertos.
La configuración de seguridad predeterminada de un componente COM expuesto como un servicio web XML difiere en función de la versión de Microsoft .NET Framework instalada. Si se instala la versión 1.0, los servicios web XML no son seguros de forma predeterminada; todas las llamadas se aceptan y no se usa ningún cifrado. Si se instala la versión 1.1 o posterior, los servicios web XML son seguros de forma predeterminada; Los autores de llamadas deben autenticarse y se requiere cifrado.
Un servicio web XML protegido no admite el acceso WKO a través de WSDL. En su lugar, los clientes que han instalado .NET Framework versión 1.1 pueden llamarlo en modo CAO. Si los clientes de terceros necesitan acceder al servicio web XML a través de WSDL, debe permitir el acceso anónimo.
Un componente COM expuesto como un servicio web XML se ejecuta de forma predeterminada con los permisos del usuario anónimo (no con los permisos de su autor de llamada). Puede configurar IIS para ejecutar el servicio web XML como un usuario diferente; Esto puede ser necesario a veces porque el componente usa archivos u otros recursos a los que el usuario anónimo no tiene acceso. Sin embargo, siempre debe intentar ejecutar el componente con los privilegios más mínimos posibles, para limitar el daño que podría causar un autor de llamada malintencionado.
Nota
Dado que un método expuesto a través de un servicio web XML podría exponerse a autores de llamadas malintencionados, siempre debe asegurarse de validar los parámetros de entrada en los que depende.
Para obtener instrucciones detalladas sobre cómo configurar opciones de seguridad específicas del servicio web XML, consulte Protección de servicios web XML.
Para convertir una aplicación SOAP segura en una aplicación SOAP no segura
- Abra la herramienta de administración de Internet Information Services (IIS).
- Busque el directorio virtual de la aplicación y abra el cuadro de diálogo Propiedades .
- Active la página Habilitar contenido predeterminado en la pestaña Documentos .
- En la pestaña Seguridad de directorio , haga clic en Editar en Control de autenticación y acceso anónimo.
- Active Acceso anónimo para habilitar el acceso anónimo y haga clic en Aceptar.
- Haga clic en Editar en Comunicaciones seguras.
- Desactive la casilla Requerir canal seguro (SSL).
Temas relacionados