Sécurité WebSphere MQ V 5.3

(1)

Sécurité WebSphere MQ V 5.3

(2)

Sécurité WebSphere MQ 5.3

Plan Plan

• • Les besoins Les besoins

• • Les technologies Les technologies

• • Apports de la version 5.3 Apports de la version 5.3

• • Mise en œuvre Mise en œuvre

• • Cas pratiques Cas pratiques

• • Intérêt et limites Intérêt et limites

(3)

(4)

Sécurité MQ : Les besoins (1) Sécurité MQ : Les besoins (1)

• • Contrôle des droits d’accès aux objets MQ Contrôle des droits d’accès aux objets MQ

– – Queues Queues

• •

droits d’utilisation (put, getdroits d’utilisation (put, get, …), …)

• •

droits d’administration (droits d’administration (alter, alter, clearclear, …), …)

– – Channels Channels

• •

Droits d’administration (startDroits d’administration (start/stop, /stop, alter, …)alter, …)

–– Exits de channel (record / chgExits de channel (record / chg du flux)du flux)

Gestion de ces droits par l’OS (+MQ)

(5)

Sécurité MQ : Les besoins (2) Sécurité MQ : Les besoins (2)

• • Droits d’administration Droits d’administration

–– Administration localeAdministration locale

•• Gestion par les droits OS + MQGestion par les droits OS + MQ

–– Administration distanteAdministration distante

•• Ouverture du Command Serveur : comment filtrer les accès ?Ouverture du Command Serveur : comment filtrer les accès ?

• • Clients MQ Clients MQ

–– Identification ?Identification ? –– Client Java !Client Java !

(6)

Sécurité MQ : Les besoins (3) Sécurité MQ : Les besoins (3)

• • Sécurité Niveau Transport ( Sécurité Niveau Transport ( channels channels ) )

• •

Entre clients et serveursEntre clients et serveurs

• •

Entre serveursEntre serveurs

– – Identification du partenaire Identification du partenaire – – Intégrité des données Intégrité des données

– – Confidentialité des données Confidentialité des données

(7)

Sécurité MQ : Synthèse des besoins Sécurité MQ : Synthèse des besoins

• •

AuthentificationAuthentification

–– Niveau utilisateur (quel user ?)Niveau utilisateur (quel user ?) –– Niveau QM (quel serveur ?)Niveau QM (quel serveur ?)

–– Niveau client (quel poste / user ?)Niveau client (quel poste / user ?)

• •

IntégritéIntégrité

–– Niveau Queue (contenu)Niveau Queue (contenu) –– Niveau Channel (ligne)Niveau Channel (ligne)

–– Niveau configuration (AlterNiveau configuration (Alter …)…)

• •

ConfidentialitéConfidentialité

–– Niveau QueueNiveau Queue

–– Niveau Channel (ligne)Niveau Channel (ligne)

(8)

WebSphere MQ et la sécurité WebSphere MQ et la sécurité

Les Technologies

(9)

Les technologies Les technologies

• • Commandes MQ niveau OS : Commandes MQ niveau OS : setmqaut setmqaut

• • Exit de sécurité niveau channel Exit de sécurité niveau channel

• • Scellement de messages Scellement de messages

• • Chiffrement de messages Chiffrement de messages

• • Certificats, PKI, SSL Certificats, PKI, SSL

(10)

Scellement Scellement

Principe

Principe : détecter toute altération d’un flux : détecter toute altération d’un flux

• • Calcul d’un hachage du flux (MD5, SHA, …) Calcul d’un hachage du flux (MD5, SHA, …)

• • Ajout du hachage au flux en tant que Ajout du hachage au flux en tant que trailer trailer

• • A l’arrivée, re A l’arrivée, re - - calcul du hachage : calcul du hachage :

– – MD5 = MD5 = trailer trailer : le flux est intact : le flux est intact – – MD5 MD5 # trailer # trailer : le flux a été altéré : le flux a été altéré

Problème

Problème : et si le pirate recalcule le hachage : et si le pirate recalcule le hachage ? ?

(11)

Chiffrement Chiffrement

• • Clés secrètes Clés secrètes

• • Clés asymétriques (bi Clés asymétriques (bi - - clé) clé)

• • Certificats Certificats

(12)

Chiffrement

Chiffrement – – Clés secrètes Clés secrètes

• • Chiffrement symétrique Chiffrement symétrique

• • La même clé est connue des deux La même clé est connue des deux correspondants (mot de passe)

correspondants (mot de passe)

• • Cette clé sert à chiffrer et à déchiffrer un flux Cette clé sert à chiffrer et à déchiffrer un flux

– – Exemples : DES, IDEA, RC2, RC4, … Exemples : DES, IDEA, RC2, RC4, …

Problème : gestion & diffusion des clés

(13)

Chiffrement

Chiffrement – – Clés Asymétriques Clés Asymétriques

• • Pour Pour un un utilisateur, on a utilisateur, on a deux deux clés reliées par une clés reliées par une relation mathématique

relation mathématique

• • Ce qui est chiffré par une clé peut être déchiffrée par Ce qui est chiffré par une clé peut être déchiffrée par l’autre (et vice

l’autre (et vice - - versa) versa)

• • Bi Bi - - clé : clé :

–– clé publique (largement diffusée)clé publique (largement diffusée) + +

–– clé privée (conservée par le propriétaire)clé privée (conservée par le propriétaire)

• • Utilisation : Utilisation :

(14)

Clés Asymétriques : utilisation en chiffrement Clés Asymétriques : utilisation en chiffrement

Exemple Exemple : :

• • Bob veut envoyer une information Bob veut envoyer une information confidentielle à Alice

confidentielle à Alice

• • Bob chiffre son message avec la clé publique Bob chiffre son message avec la clé publique d’Alice

d’Alice

• • Seule Alice pourra déchiffrer le message, Seule Alice pourra déchiffrer le message, grâce à sa clé privée

grâce à sa clé privée

(15)

Clés Asymétriques : utilisation en signature Clés Asymétriques : utilisation en signature

• •

Alice veut « signer » un message envoyé à Bob.Alice veut « signer » un message envoyé à Bob.

• •

Alice crée un hachage de son message, chiffre le résultat avec sa clé Alice crée un hachage de son message, chiffre le résultat avec sa clé privée, et ajoute le résultat chiffré au message.

privée, et ajoute le résultat chiffré au message.

• •

Bob, à la réception du message :Bob, à la réception du message :

–– recalcule le hachage à partir du message , et obtient S1recalcule le hachage à partir du message , et obtient S1

–– déchiffre, avec la clé publique d’Alice le hachage reçu dans le déchiffre, avec la clé publique d’Alice le hachage reçu dans le message, et obtient S2

message, et obtient S2

• •

Si S1 = S2 :Si S1 = S2 :

–– C’est bien Alice qui a envoyé ce messageC’est bien Alice qui a envoyé ce message

(16)

Synthèse clés asymétriques Synthèse clés asymétriques

• • La combinaison La combinaison chiffrement chiffrement + + signature signature permet : permet : – – la confidentialité des échanges la confidentialité des échanges

– – L’authentification des correspondants L’authentification des correspondants

mais mais … …

• • Le chiffrement asymétrique est très lourd en calcul Le chiffrement asymétrique est très lourd en calcul

Chiffrement via clé symétrique générée à la volée, envoyée au Chiffrement via clé symétrique générée à la volée, envoyée au partenaire chiffrée en asymétrique

partenaire chiffrée en asymétrique

• • On authentifie la clé, pas son propriétaire ! On authentifie la clé, pas son propriétaire !

Mise en place des certificatsMise en place des certificats

(17)

Les certificats Les certificats

Besoin : identifier l’utilisateur d’une clé Besoin : identifier l’utilisateur d’une clé

• • Certificat : Certificat :

–– Carte d’identité électroniqueCarte d’identité électronique

–– Contient la clé publique du propriétaireContient la clé publique du propriétaire

–– Contient des informations sur le propriétaire Contient des informations sur le propriétaire (nom, département, société, adresse, mail, …) (nom, département, société, adresse, mail, …)

–– Contenu certifié (« scellé ») par une autorité de certification Contenu certifié (« scellé ») par une autorité de certification (CA), publique ou privée

(CA), publique ou privée

(18)

Public Key Infrastructure Public Key Infrastructure

• • Infrastructure pour : Infrastructure pour :

– – Générer les clés Générer les clés

– – Certifier les clés publiques (certificats) Certifier les clés publiques (certificats) – – Distribuer et révoquer les certificats Distribuer et révoquer les certificats

• • Logiciels du commerce Logiciels du commerce

• • Logiciels Open Source Logiciels Open Source

– – Open SSL Open SSL

(19)

SSL – SSL – Secure Secure Socket Socket Layer Layer - - V3 V3

Permet l’échange sécurisé de données sur TCP/IP Permet l’échange sécurisé de données sur TCP/IP

• •

Utilise :Utilise :

–– Le chiffrement par clé symétriqueLe chiffrement par clé symétrique –– Le chiffrement par clé asymétriqueLe chiffrement par clé asymétrique –– Les certificatsLes certificats

• •

Apporte :Apporte :

–– La confidentialité des échangesLa confidentialité des échanges –– L’intégrité des échangesL’intégrité des échanges

–– L’identification du partenaireL’identification du partenaire

• •

Exemples :Exemples :

(20)

WebSphere MQ : Apports de la version 5.3

(21)

Apports de WebSphere 5.3 Apports de WebSphere 5.3

• •

Outil de manipulation des certificatsOutil de manipulation des certificats

–– iKeymaniKeyman / / MQExplorerMQExplorer / / amqmcertamqmcert / DCM/ DCM

• •

Chiffrement des échanges channelsChiffrement des échanges channels en SSL V3en SSL V3

–– Pour toutes les plates-Pour toutes les plates-formes 5.3 client et serveurformes 5.3 client et serveur

• •

Mots-Mots-clés niveau Queue Manager / Clientclés niveau Queue Manager / Client

–– Association d’un keyringAssociation d’un keyring au QM /clientau QM /client

• •

Mots-Mots-clés niveau channelclés niveau channel

–– SSLCIPH (RC4_MD_US, DES_SHA_EXPORT, … )SSLCIPH (RC4_MD_US, DES_SHA_EXPORT, … ) –– SSLPEER ( …) SSLPEER ( …) (filtre par DN)(filtre par DN)

(22)

WebSphere MQ 5.3 & SSL WebSphere MQ 5.3 & SSL

Mise en œuvre

(23)

Mise en œuvre du SSL Mise en œuvre du SSL

Trois étapes : Trois étapes :

• • Certificats & Clés Certificats & Clés

• • Magasin de clés Magasin de clés

• • Modifications WebSphere MQ Modifications WebSphere MQ

(24)

Certificats & Clés Certificats & Clés

• • Certificat du CA (Certification Certificat du CA (Certification Authority Authority ) )

– – En format .CRT En format .CRT

• • Certificat personnel Certificat personnel

– – Pour chaque Queue Manager Pour chaque Queue Manager – – Pour l’utilisateur (si client MQ) Pour l’utilisateur (si client MQ) – – En format PKCS12 En format PKCS12

Le

Le FriendlyNameFriendlyName du certificat personnel doit être :du certificat personnel doit être :

Si Unix ou AS/400 : ibmwebspheremqSi Unix ou AS/400 : ibmwebspheremq<<nom_qmnom_qm> >

Si client Unix : Si client Unix : ibmwebspheremq<ibmwebspheremq<profil_utilisateurprofil_utilisateur>>

Si z/OS : ibmwebsphereMQ^{Si z/OS :}ibmwebsphereMQ<<nom_du_qmnom_du_qm>>

(25)

Magasin de clés Magasin de clés

Synonyme

Synonyme : : Certificate Certificate Store, Store, Keyring Keyring , , key key repository repository

• • Unix : Création / Gestion par Unix : Création / Gestion par iKeyman iKeyman

(livré avec WebSphere MQ, WAS, IHS, Tivoli, …) (livré avec WebSphere MQ, WAS, IHS, Tivoli, …) Existe en mode commande ou en graphique X11 Existe en mode commande ou en graphique X11

• •

Windows : Windows :

–– amqmcertamqmcert (mode commande)(mode commande)

–– Via l’explorateur WebSphere MQ (si Queue Manager)Via l’explorateur WebSphere MQ (si Queue Manager)

• •

AS/400 : DCM -AS/400 : DCM - Digital CertificateDigital Certificate ManagerManager

–– Via un navigateur web, sur les ports 2001 ou 2010Via un navigateur web, sur les ports 2001 ou 2010

(26)

Modifications WebSphere MQ Modifications WebSphere MQ

• • Affectation du Affectation du keyring keyring : :

–– au Queue Manager : ALTER QMGR SSLKEYR( )au Queue Manager : ALTER QMGR SSLKEYR( )

–– au client MQ : variable d’environnement MQSSLKEYR ou dans le au client MQ : variable d’environnement MQSSLKEYR ou dans le MQCONNX

MQCONNX

• • Modification des channels Modification des channels : :

SENDER/RECEIVER ou SVRCONN/CLNTCONN : SENDER/RECEIVER ou SVRCONN/CLNTCONN :

–– Paramètres SSLCIPH(…) & SSLCAUT(REQUIRED)Paramètres SSLCIPH(…) & SSLCAUT(REQUIRED)

• • Affectation du certificat au client si MQ Client Win Affectation du certificat au client si MQ Client Win

–– Par numéro d’ordre dans le magasin de cléPar numéro d’ordre dans le magasin de clé

(27)

Modifications WebSphere MQ Modifications WebSphere MQ

Paramètres optionnels Paramètres optionnels

• • Support du HW Crypto : Support du HW Crypto :

ALTER QMGR SSLCRYPT ALTER QMGR SSLCRYPT

Unités IBM 4758 et ICSF Unités IBM 4758 et ICSF Hardware dédié sur

Hardware dédié sur HPUxHPUx, , Solaris, AixSolaris, Aix

• • Support des listes de révocation Support des listes de révocation

–– via LDAPvia LDAP

(28)

WebSphere MQ 5.3 & SSL WebSphere MQ 5.3 & SSL

Cas Pratiques

(29)

Cas Pratique 1 Cas Pratique 1

• • Secteur économique : distribution Secteur économique : distribution

• • Contexte : échanges de bons de commande / livraison Contexte : échanges de bons de commande / livraison

• • Systèmes : 2 x QM sur Win 2000 & Aix Systèmes : 2 x QM sur Win 2000 & Aix

• • Objectif : confidentialité des flux Objectif : confidentialité des flux

• • Solution : Solution :

–– Passage en version 5.3Passage en version 5.3

–– Génération de deux certificats autosignésGénération de deux certificats autosignés (iKeyman(iKeyman))

(30)

Cas pratique 2 Cas pratique 2

• • Secteur économique : Banque Secteur économique : Banque

• • Contexte : Administration sécurisée de WebSphere MQ Contexte : Administration sécurisée de WebSphere MQ

• • Systèmes : 6 Unix & 20 QM, postes WinNT Systèmes : 6 Unix & 20 QM, postes WinNT

• • Objectif : Limiter l’administration MQ aux seuls postes Objectif : Limiter l’administration MQ aux seuls postes autorisés

autorisés

• • Solution : Solution :

–– Passage en version 5.3Passage en version 5.3

–– Installation du client MQ & MO71 sur les postes WinNTInstallation du client MQ & MO71 sur les postes WinNT –– Génération d’un CA et de certificats personnels pour les Génération d’un CA et de certificats personnels pour les

utilisateurs NT et les QM (OpenSSL) utilisateurs NT et les QM (OpenSSL)

–– Activation du SSL sur un channel client dédié à l’adminsitrationActivation du SSL sur un channel client dédié à l’adminsitration –– Fermeture des autres channelsFermeture des autres channels SVRCONNSVRCONN

–– Certificats sur clé USB (en cours)Certificats sur clé USB (en cours)

(31)

(32)

Intérêt du SSL sur WebSphere MQ 5.3 Intérêt du SSL sur WebSphere MQ 5.3

Le support du SSL : Le support du SSL :

• • Apporte Apporte

–– Le chiffrement des liens (QM à QM / QM à client)Le chiffrement des liens (QM à QM / QM à client) –– L’intégrité des donnéesL’intégrité des données

–– L’authentification des partenairesL’authentification des partenaires

• • Permet la sécurisation de l’administration distante Permet la sécurisation de l’administration distante

• • Pour un coût très faible Pour un coût très faible

–– Upgrade 5.3Upgrade 5.3

–– Gestion des certificatsGestion des certificats –– RessourcesRessources

(33)

Limites du SSL sur WebSphere MQ 5.3 Limites du SSL sur WebSphere MQ 5.3

• • Attention aux performances si trafic élevé Attention aux performances si trafic élevé

– – Ségrégation du trafic par multi Ségrégation du trafic par multi- - channel channel – – Unités de chiffrement hardware Unités de chiffrement hardware

– – Upgrade CPU Upgrade CPU

• • Pas d’authentification de bout en bout Pas d’authentification de bout en bout

• • Pas de protection des messages dans les queues Pas de protection des messages dans les queues (hors celle de l’OS et du

(hors celle de l’OS et du setmqaut setmqaut ) ₎

(34)

Conclusion Conclusion

• • Fonctions attendues par le marché Fonctions attendues par le marché

• • Relativement rapide à mettre en œuvre Relativement rapide à mettre en œuvre

– – Compétence WMQ + PKI nécessaire Compétence WMQ + PKI nécessaire

• • Offre un excellent niveau de protection Offre un excellent niveau de protection

– – Pour les domaines considérés Pour les domaines considérés

(35)

http://consulting.demey.org/

rubrique « Fiches Techniques »

rubrique « Fiches Techniques » Luc-Michel Demey

lmd@demey.org +33 6 08 755 655