Sécurité WebSphere MQ V 5.3
Sécurité WebSphere MQ V 5.3
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 22
Sécurité WebSphere MQ 5.3
Plan Plan
• • Les besoins Les besoins
• • Les technologies Les technologies
• • Apports de la version 5.3 Apports de la version 5.3
• • Mise en œuvre Mise en œuvre
• • Cas pratiques Cas pratiques
• • Intérêt et limites Intérêt et limites
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 44
Sécurité WebSphere MQ 5.3
Sécurité MQ : Les besoins (1) Sécurité MQ : Les besoins (1)
• • Contrôle des droits d’accès aux objets MQ Contrôle des droits d’accès aux objets MQ
– – Queues Queues
• •
droits d’utilisation (put, getdroits d’utilisation (put, get, …), …)• •
droits d’administration (droits d’administration (alter, alter, clearclear, …), …)– – Channels Channels
• •
Droits d’administration (startDroits d’administration (start/stop, /stop, alter, …)alter, …)–– Exits de channel (record / chgExits de channel (record / chg du flux)du flux)
Gestion de ces droits par l’OS (+MQ)
Gestion de ces droits par l’OS (+MQ)
Sécurité MQ : Les besoins (2) Sécurité MQ : Les besoins (2)
• • Droits d’administration Droits d’administration
–– Administration localeAdministration locale
•• Gestion par les droits OS + MQGestion par les droits OS + MQ
–– Administration distanteAdministration distante
•• Ouverture du Command Serveur : comment filtrer les accès ?Ouverture du Command Serveur : comment filtrer les accès ?
• • Clients MQ Clients MQ
–– Identification ?Identification ? –– Client Java !Client Java !
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 66
Sécurité WebSphere MQ 5.3
Sécurité MQ : Les besoins (3) Sécurité MQ : Les besoins (3)
• • Sécurité Niveau Transport ( Sécurité Niveau Transport ( channels channels ) )
• •
Entre clients et serveursEntre clients et serveurs• •
Entre serveursEntre serveurs– – Identification du partenaire Identification du partenaire – – Intégrité des données Intégrité des données
– – Confidentialité des données Confidentialité des données
Sécurité MQ : Synthèse des besoins Sécurité MQ : Synthèse des besoins
• •
AuthentificationAuthentification–– Niveau utilisateur (quel user ?)Niveau utilisateur (quel user ?) –– Niveau QM (quel serveur ?)Niveau QM (quel serveur ?)
–– Niveau client (quel poste / user ?)Niveau client (quel poste / user ?)
• •
IntégritéIntégrité–– Niveau Queue (contenu)Niveau Queue (contenu) –– Niveau Channel (ligne)Niveau Channel (ligne)
–– Niveau configuration (AlterNiveau configuration (Alter …)…)
• •
ConfidentialitéConfidentialité–– Niveau QueueNiveau Queue
–– Niveau Channel (ligne)Niveau Channel (ligne)
WebSphere MQ et la sécurité WebSphere MQ et la sécurité
Les Technologies
Les Technologies
Les technologies Les technologies
• • Commandes MQ niveau OS : Commandes MQ niveau OS : setmqaut setmqaut
• • Exit de sécurité niveau channel Exit de sécurité niveau channel
• • Scellement de messages Scellement de messages
• • Chiffrement de messages Chiffrement de messages
• • Certificats, PKI, SSL Certificats, PKI, SSL
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 1010
Sécurité WebSphere MQ 5.3
Scellement Scellement
Principe
Principe : détecter toute altération d’un flux : détecter toute altération d’un flux
• • Calcul d’un hachage du flux (MD5, SHA, …) Calcul d’un hachage du flux (MD5, SHA, …)
• • Ajout du hachage au flux en tant que Ajout du hachage au flux en tant que trailer trailer
• • A l’arrivée, re A l’arrivée, re - - calcul du hachage : calcul du hachage :
– – MD5 = MD5 = trailer trailer : le flux est intact : le flux est intact – – MD5 MD5 # trailer # trailer : le flux a été altéré : le flux a été altéré
Problème
Problème : et si le pirate recalcule le hachage : et si le pirate recalcule le hachage ? ?
Chiffrement Chiffrement
• • Clés secrètes Clés secrètes
• • Clés asymétriques (bi Clés asymétriques (bi - - clé) clé)
• • Certificats Certificats
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 1212
Sécurité WebSphere MQ 5.3
Chiffrement
Chiffrement – – Clés secrètes Clés secrètes
• • Chiffrement symétrique Chiffrement symétrique
• • La même clé est connue des deux La même clé est connue des deux correspondants (mot de passe)
correspondants (mot de passe)
• • Cette clé sert à chiffrer et à déchiffrer un flux Cette clé sert à chiffrer et à déchiffrer un flux
– – Exemples : DES, IDEA, RC2, RC4, … Exemples : DES, IDEA, RC2, RC4, …
Problème : gestion & diffusion des clés
Problème : gestion & diffusion des clés
Chiffrement
Chiffrement – – Clés Asymétriques Clés Asymétriques
• • Pour Pour un un utilisateur, on a utilisateur, on a deux deux clés reliées par une clés reliées par une relation mathématique
relation mathématique
• • Ce qui est chiffré par une clé peut être déchiffrée par Ce qui est chiffré par une clé peut être déchiffrée par l’autre (et vice
l’autre (et vice - - versa) versa)
• • Bi Bi - - clé : clé :
–– clé publique (largement diffusée)clé publique (largement diffusée) + +
–– clé privée (conservée par le propriétaire)clé privée (conservée par le propriétaire)
• • Utilisation : Utilisation :
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 1414
Sécurité WebSphere MQ 5.3
Clés Asymétriques : utilisation en chiffrement Clés Asymétriques : utilisation en chiffrement
Exemple Exemple : :
• • Bob veut envoyer une information Bob veut envoyer une information confidentielle à Alice
confidentielle à Alice
• • Bob chiffre son message avec la clé publique Bob chiffre son message avec la clé publique d’Alice
d’Alice
• • Seule Alice pourra déchiffrer le message, Seule Alice pourra déchiffrer le message, grâce à sa clé privée
grâce à sa clé privée
Clés Asymétriques : utilisation en signature Clés Asymétriques : utilisation en signature
• •
Alice veut « signer » un message envoyé à Bob.Alice veut « signer » un message envoyé à Bob.• •
Alice crée un hachage de son message, chiffre le résultat avec sa clé Alice crée un hachage de son message, chiffre le résultat avec sa clé privée, et ajoute le résultat chiffré au message.privée, et ajoute le résultat chiffré au message.
• •
Bob, à la réception du message :Bob, à la réception du message :–– recalcule le hachage à partir du message , et obtient S1recalcule le hachage à partir du message , et obtient S1
–– déchiffre, avec la clé publique d’Alice le hachage reçu dans le déchiffre, avec la clé publique d’Alice le hachage reçu dans le message, et obtient S2
message, et obtient S2
• •
Si S1 = S2 :Si S1 = S2 :–– C’est bien Alice qui a envoyé ce messageC’est bien Alice qui a envoyé ce message
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 1616
Sécurité WebSphere MQ 5.3
Synthèse clés asymétriques Synthèse clés asymétriques
• • La combinaison La combinaison chiffrement chiffrement + + signature signature permet : permet : – – la confidentialité des échanges la confidentialité des échanges
– – L’authentification des correspondants L’authentification des correspondants
mais mais … …
• • Le chiffrement asymétrique est très lourd en calcul Le chiffrement asymétrique est très lourd en calcul
Chiffrement via clé symétrique générée à la volée, envoyée au Chiffrement via clé symétrique générée à la volée, envoyée au partenaire chiffrée en asymétrique
partenaire chiffrée en asymétrique
• • On authentifie la clé, pas son propriétaire ! On authentifie la clé, pas son propriétaire !
Mise en place des certificatsMise en place des certificats
Les certificats Les certificats
Besoin : identifier l’utilisateur d’une clé Besoin : identifier l’utilisateur d’une clé
• • Certificat : Certificat :
–– Carte d’identité électroniqueCarte d’identité électronique
–– Contient la clé publique du propriétaireContient la clé publique du propriétaire
–– Contient des informations sur le propriétaire Contient des informations sur le propriétaire (nom, département, société, adresse, mail, …) (nom, département, société, adresse, mail, …)
–– Contenu certifié (« scellé ») par une autorité de certification Contenu certifié (« scellé ») par une autorité de certification (CA), publique ou privée
(CA), publique ou privée
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 1818
Sécurité WebSphere MQ 5.3
Public Key Infrastructure Public Key Infrastructure
• • Infrastructure pour : Infrastructure pour :
– – Générer les clés Générer les clés
– – Certifier les clés publiques (certificats) Certifier les clés publiques (certificats) – – Distribuer et révoquer les certificats Distribuer et révoquer les certificats
• • Logiciels du commerce Logiciels du commerce
• • Logiciels Open Source Logiciels Open Source
– – Open SSL Open SSL
SSL – SSL – Secure Secure Socket Socket Layer Layer - - V3 V3
Permet l’échange sécurisé de données sur TCP/IP Permet l’échange sécurisé de données sur TCP/IP
• •
Utilise :Utilise :–– Le chiffrement par clé symétriqueLe chiffrement par clé symétrique –– Le chiffrement par clé asymétriqueLe chiffrement par clé asymétrique –– Les certificatsLes certificats
• •
Apporte :Apporte :–– La confidentialité des échangesLa confidentialité des échanges –– L’intégrité des échangesL’intégrité des échanges
–– L’identification du partenaireL’identification du partenaire
• •
Exemples :Exemples :WebSphere MQ : Apports de la version 5.3
WebSphere MQ : Apports de la version 5.3
Apports de WebSphere 5.3 Apports de WebSphere 5.3
• •
Outil de manipulation des certificatsOutil de manipulation des certificats–– iKeymaniKeyman / / MQExplorerMQExplorer / / amqmcertamqmcert / DCM/ DCM
• •
Chiffrement des échanges channelsChiffrement des échanges channels en SSL V3en SSL V3–– Pour toutes les plates-Pour toutes les plates-formes 5.3 client et serveurformes 5.3 client et serveur
• •
Mots-Mots-clés niveau Queue Manager / Clientclés niveau Queue Manager / Client–– Association d’un keyringAssociation d’un keyring au QM /clientau QM /client
• •
Mots-Mots-clés niveau channelclés niveau channel–– SSLCIPH (RC4_MD_US, DES_SHA_EXPORT, … )SSLCIPH (RC4_MD_US, DES_SHA_EXPORT, … ) –– SSLPEER ( …) SSLPEER ( …) (filtre par DN)(filtre par DN)
WebSphere MQ 5.3 & SSL WebSphere MQ 5.3 & SSL
Mise en œuvre
Mise en œuvre
Mise en œuvre du SSL Mise en œuvre du SSL
Trois étapes : Trois étapes :
• • Certificats & Clés Certificats & Clés
• • Magasin de clés Magasin de clés
• • Modifications WebSphere MQ Modifications WebSphere MQ
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 2424
Sécurité WebSphere MQ 5.3
Certificats & Clés Certificats & Clés
• • Certificat du CA (Certification Certificat du CA (Certification Authority Authority ) )
– – En format .CRT En format .CRT
• • Certificat personnel Certificat personnel
– – Pour chaque Queue Manager Pour chaque Queue Manager – – Pour l’utilisateur (si client MQ) Pour l’utilisateur (si client MQ) – – En format PKCS12 En format PKCS12
Le
Le FriendlyNameFriendlyName du certificat personnel doit être :du certificat personnel doit être :
Si Unix ou AS/400 : ibmwebspheremqSi Unix ou AS/400 : ibmwebspheremq<<nom_qmnom_qm> >
Si client Unix : Si client Unix : ibmwebspheremq<ibmwebspheremq<profil_utilisateurprofil_utilisateur>>
Si z/OS : ibmwebsphereMQSi z/OS : ibmwebsphereMQ<<nom_du_qmnom_du_qm>>
Magasin de clés Magasin de clés
Synonyme
Synonyme : : Certificate Certificate Store, Store, Keyring Keyring , , key key repository repository
• • Unix : Création / Gestion par Unix : Création / Gestion par iKeyman iKeyman
(livré avec WebSphere MQ, WAS, IHS, Tivoli, …) (livré avec WebSphere MQ, WAS, IHS, Tivoli, …) Existe en mode commande ou en graphique X11 Existe en mode commande ou en graphique X11
• •
Windows : Windows :–– amqmcertamqmcert (mode commande)(mode commande)
–– Via l’explorateur WebSphere MQ (si Queue Manager)Via l’explorateur WebSphere MQ (si Queue Manager)
• •
AS/400 : DCM -AS/400 : DCM - Digital CertificateDigital Certificate ManagerManager–– Via un navigateur web, sur les ports 2001 ou 2010Via un navigateur web, sur les ports 2001 ou 2010
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 2626
Sécurité WebSphere MQ 5.3
Modifications WebSphere MQ Modifications WebSphere MQ
• • Affectation du Affectation du keyring keyring : :
–– au Queue Manager : ALTER QMGR SSLKEYR( )au Queue Manager : ALTER QMGR SSLKEYR( )
–– au client MQ : variable d’environnement MQSSLKEYR ou dans le au client MQ : variable d’environnement MQSSLKEYR ou dans le MQCONNX
MQCONNX
• • Modification des channels Modification des channels : :
SENDER/RECEIVER ou SVRCONN/CLNTCONN : SENDER/RECEIVER ou SVRCONN/CLNTCONN :
–– Paramètres SSLCIPH(…) & SSLCAUT(REQUIRED)Paramètres SSLCIPH(…) & SSLCAUT(REQUIRED)
• • Affectation du certificat au client si MQ Client Win Affectation du certificat au client si MQ Client Win
–– Par numéro d’ordre dans le magasin de cléPar numéro d’ordre dans le magasin de clé
Modifications WebSphere MQ Modifications WebSphere MQ
Paramètres optionnels Paramètres optionnels
• • Support du HW Crypto : Support du HW Crypto :
ALTER QMGR SSLCRYPT ALTER QMGR SSLCRYPT
Unités IBM 4758 et ICSF Unités IBM 4758 et ICSF Hardware dédié sur
Hardware dédié sur HPUxHPUx, , Solaris, AixSolaris, Aix
• • Support des listes de révocation Support des listes de révocation
–– via LDAPvia LDAP
WebSphere MQ 5.3 & SSL WebSphere MQ 5.3 & SSL
Cas Pratiques
Cas Pratiques
Cas Pratique 1 Cas Pratique 1
• • Secteur économique : distribution Secteur économique : distribution
• • Contexte : échanges de bons de commande / livraison Contexte : échanges de bons de commande / livraison
• • Systèmes : 2 x QM sur Win 2000 & Aix Systèmes : 2 x QM sur Win 2000 & Aix
• • Objectif : confidentialité des flux Objectif : confidentialité des flux
• • Solution : Solution :
–– Passage en version 5.3Passage en version 5.3
–– Génération de deux certificats autosignésGénération de deux certificats autosignés (iKeyman(iKeyman))
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 3030
Sécurité WebSphere MQ 5.3
Cas pratique 2 Cas pratique 2
• • Secteur économique : Banque Secteur économique : Banque
• • Contexte : Administration sécurisée de WebSphere MQ Contexte : Administration sécurisée de WebSphere MQ
• • Systèmes : 6 Unix & 20 QM, postes WinNT Systèmes : 6 Unix & 20 QM, postes WinNT
• • Objectif : Limiter l’administration MQ aux seuls postes Objectif : Limiter l’administration MQ aux seuls postes autorisés
autorisés
• • Solution : Solution :
–– Passage en version 5.3Passage en version 5.3
–– Installation du client MQ & MO71 sur les postes WinNTInstallation du client MQ & MO71 sur les postes WinNT –– Génération d’un CA et de certificats personnels pour les Génération d’un CA et de certificats personnels pour les
utilisateurs NT et les QM (OpenSSL) utilisateurs NT et les QM (OpenSSL)
–– Activation du SSL sur un channel client dédié à l’adminsitrationActivation du SSL sur un channel client dédié à l’adminsitration –– Fermeture des autres channelsFermeture des autres channels SVRCONNSVRCONN
–– Certificats sur clé USB (en cours)Certificats sur clé USB (en cours)
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 3232
Sécurité WebSphere MQ 5.3
Intérêt du SSL sur WebSphere MQ 5.3 Intérêt du SSL sur WebSphere MQ 5.3
Le support du SSL : Le support du SSL :
• • Apporte Apporte
–– Le chiffrement des liens (QM à QM / QM à client)Le chiffrement des liens (QM à QM / QM à client) –– L’intégrité des donnéesL’intégrité des données
–– L’authentification des partenairesL’authentification des partenaires
• • Permet la sécurisation de l’administration distante Permet la sécurisation de l’administration distante
• • Pour un coût très faible Pour un coût très faible
–– Upgrade 5.3Upgrade 5.3
–– Gestion des certificatsGestion des certificats –– RessourcesRessources
Limites du SSL sur WebSphere MQ 5.3 Limites du SSL sur WebSphere MQ 5.3
• • Attention aux performances si trafic élevé Attention aux performances si trafic élevé
– – Ségrégation du trafic par multi Ségrégation du trafic par multi- - channel channel – – Unités de chiffrement hardware Unités de chiffrement hardware
– – Upgrade CPU Upgrade CPU
• • Pas d’authentification de bout en bout Pas d’authentification de bout en bout
• • Pas de protection des messages dans les queues Pas de protection des messages dans les queues (hors celle de l’OS et du
(hors celle de l’OS et du setmqaut setmqaut ) )
© Demey Consulting, 2003.
© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 3434
Sécurité WebSphere MQ 5.3
Conclusion Conclusion
• • Fonctions attendues par le marché Fonctions attendues par le marché
• • Relativement rapide à mettre en œuvre Relativement rapide à mettre en œuvre
– – Compétence WMQ + PKI nécessaire Compétence WMQ + PKI nécessaire
• • Offre un excellent niveau de protection Offre un excellent niveau de protection
– – Pour les domaines considérés Pour les domaines considérés
http://consulting.demey.org/
http://consulting.demey.org/
rubrique « Fiches Techniques »
rubrique « Fiches Techniques » Luc-Michel Demey
lmd@demey.org +33 6 08 755 655