Fermer

août 16, 2019

Protéger la structure du MQCSP – Blogs insuffisants


15 août 2019.

Description du problème

Comme je l’ai mentionné dans l’une des publications précédentes: Les structures MQCSP, contenant l’ID utilisateur et le mot de passe de l’utilisateur authentifié, sont envoyées en clair sur le réseau, si vous n'utilisez pas TLS pour chiffrer votre trafic.

Par exemple, si vous configurez LDAP pour l'authentification (comme décrit dans l'article précédent), démarrez votre explorateur MQ, renseignez votre ID utilisateur et votre mot de passe, puis connectez-vous sur un système. Le canal par défaut ADMIN.SVRCONN, l'ID utilisateur et le mot de passe, envoyés au gestionnaire de files d'attente par l'explorateur MQ, ne sont aucunement protégés.

Dans cet article, nous allons Découvrez des moyens d'y remédier.

Comment protéger la structure MQCSP

Tout d'abord, le plus simple et le plus sûr consiste à utiliser le protocole TLS sur vos canaux. Dans ce cas, le MQCSP sera crypté avec le reste du trafic transitant par le canal.

La deuxième option consiste à protéger la structure MQCSP. Pour être précis, nous protégeons le mot de passe dans la structure MQCSP. L'ID utilisateur n'est pas protégé. IBM MQ fournit cette fonctionnalité telle qu’elle débute à partir de la version 8.0

Toutes les conditions suivantes doivent être remplies pour que la protection par mot de passe MQCSP soit opérationnelle:

1. Les deux extrémités de la connexion utilisent IBM MQ version 8.0 ou ultérieure.

2. Le canal n'utilise pas le cryptage TLS. Un canal n'utilise pas le cryptage TLS s'il possède un attribut SSLCIPH vide ou si l'attribut SSLCIPH est défini sur une spécification CipherSpec qui ne fournit pas de cryptage. Les codes nuls, par exemple, NULL_SHA, ne fournissent pas de cryptage.

3. Vous définissez MQCSP.AuthenticationType sur MQCSP_AUTH_USER_ID_AND_PWD dans votre code client (ou votre écran de configuration). La valeur par défaut de MQCSP.AuthenticationType est MQCSP_AUTH_NONE . Avec le réglage par défaut, aucune protection par mot de passe n'est effectuée.

Ces trois conditions sont suffisantes pour toutes les applications, sauf une. Pour MQ Explorer une condition supplémentaire doit être remplie:

4. Le mode de compatibilité d'identification de l'utilisateur ne doit pas être activé. Ce n'est pas la valeur par défaut, vous devez le désactiver explicitement.

Si ces conditions ne sont pas remplies, le mot de passe est envoyé en texte brut, sauf si la Protection de mot de passe l'utilise mal. paramètre de configuration. Si les conditions ne sont pas remplies et que le paramètre de configuration PasswordProtection interdit le mot de passe en texte brut, vous recevrez un message d'erreur.

Le paramètre de configuration PasswordProtection

Vous définissez l'attribut PasswordProtection dans le Strophe de canaux des fichiers de configuration .ini du client et du gestionnaire de files d'attente. Exemple:

Canaux:
PasswordProtection = toujours

L'attribut peut prendre l'une des valeurs suivantes:

compatible

Le mot de passe peut être envoyé en texte brut si Le gestionnaire de files d'attente ou le client exécute une version d'IBM MQ antérieure à la version 8.0. C'est-à-dire que les mots de passe en texte brut sont autorisés pour la compatibilité. Il s'agit de la valeur par défaut.

toujours

Le mot de passe doit être chiffré avec une valeur CipherSpec non différente de CipherSpec ou MQCSP.AuthenticationType doit être défini sur MQCSP_AUTH_USER_ID_AND_PWD. Sinon, la connexion échoue. Autrement dit, les mots de passe en texte brut ne sont pas autorisés.

facultatif

Le mot de passe peut éventuellement être envoyé protégé, mais est envoyé en texte brut si MQCSP.AuthenticationType n'est pas défini sur MQCSP_AUTH_USER_ID_AND_PWD. C'est-à-dire que tous les clients peuvent envoyer des mots de passe en texte brut.

warn

Les mots de passe en texte brut peuvent être envoyés par tous les clients. Si un mot de passe en texte brut est reçu, un message d'avertissement (AMQ9297) est écrit dans les journaux d'erreurs du gestionnaire de files d'attente.

Remarque sur les clients Java et JMS purs

Considérations supplémentaires sur les clients Java et JMS purs et PasswordProtection attribut

Pour les clients Java et JMS, le comportement de l'attribut PasswordProtection change en fonction du choix entre l'utilisation du mode de compatibilité ou du mode MQCSP:

  • En mode de compatibilité, une structure MQCSP n'est pas transmise pendant traitement de la connexion. Par conséquent, le comportement de l'attribut PasswordProtection est identique à celui décrit pour les clients qui exécutent une version d'IBM MQ antérieure à la version 8.0.
  • En mode MQCSP, le comportement de l'attribut PasswordProtection est identique à celui décrit. ] Comme vous pouvez le constater à partir de la description ci-dessus, configurer TLS sur tous vos canaux est le moyen le plus simple et le plus sûr, et le moyen approprié pour protéger vos identifiants d'utilisateur et mots de passe envoyés clients aux gestionnaires de files d'attente!

    Dites-moi ce que vous pensez dans les commentaires.

Le meilleur outil 2023 pour ta croissance Instagram !



Source link