stunnel を使用して MQ TCP 通信チャネルを保護することについて、経験や考えがある人はいますか?
MQ サポートが組み込まれているサードパーティの SW と統合していますが、SSL をサポートできません。したがって、TCP 上である種のセキュリティを確保するために、stunnel を使用したいと考えています。実装方法とベストプラクティスについて考えている人はいますか
2 に答える
1
私は stunnel を使用していないので、回答のその部分は別のレスポンダーに任せます。WMQ に関しては、stunnel リンクを介したデータのプライバシーとデータの完全性は提供されますが、WMQ 認証などのチャネル レベルのサービスは提供されないことに注意してください。確かに、stunnel 接続自体である程度の認証が行われますが、stunnel 経由で到着しない QMgr への TCP ルートを持つ人は誰でもそのチャネルを開始できます。
セキュリティの要件には、明らかにデータのプライバシーが含まれます。認証と承認も含まれている場合は、BlockIP2 ( http://mrmq.dkから) などを使用して、そのチャネルの着信接続を IP アドレスでフィルター処理し、それらが stunnel リンクを介して確実に到達するようにする必要がある場合があります。もちろん、リモート エンドの誰かが接続先のチャネル名を指定することを妨げるものは何もないため、1 つのチャネルを保護する場合は、すべてのチャネルを保護する必要があります。つまり、SYSTEM.DEF.* と SYSTEM.AUTO.* を確認してください。チャネルが無効になっているか、インバウンド接続を認証するために SSL および/または出口を使用していること。
最後に、WMQ がクライアントによって提示された ID を受け入れるように構成されている場合、接続には完全な管理アクセス権があり、リモート コードの実行が含まれることに注意してください。これを防ぐには、チャネルの MCAUSER で権限の低い ID を使用して、管理用ではないすべてのインバウンド チャネル (RCVR、RQSTR、CLUSRCVR、および SVRCONN) を構成する必要があります。管理者向けのチャネルについては、SSL で認証します。(うまくいけば、あなたのサードパーティ SW はアプリケーションであり、管理ツールではありません! WMQ 管理ツールは SSL をサポートする必要があります。それ以外の場合は使用しないでください!)
したがって、必ず stunnel を使用してこのリンクを保護してください。QMgr の残りの部分、または正当に接続できる他のユーザー (MCAUSER を空白のままにし、SSL や終了を使用していない場合は匿名のリモート ユーザーでさえも) を保護してください。セキュリティをバイパスするか無効にするだけです。
IMPACT プレゼンテーションHardening WMQ Securityのコピーがhttps://t-rob.net/links/にあり、これらすべてをより詳細に説明しています。
于 2010-04-26T10:25:04.870 に答える
0
ロブ - 私はあなたに同意します。そのためだけに MQIPT があります。どちらがはるかに優れています。STunnel for MQ については、問題を解決しました。
キー -U には .pem キーが必要です (キー マネージャーから .p12 を作成し、open ssl を使用して .PEM に変換できます)。
クライアント側: stunnel をダウンロードしてインストールすると、構成ファイルに次のエントリが含まれます。
cert = XXX.pem
client = yes
[MQ]
accept = 1415
connect = DestinationIP:1415
サーバ側:
cert = xxx.pem
client = no
[MQ]
accept = 1415
connect = MQIP:1415
これを実行したら、キュー名を指定して amquputc を呼び出すだけです。
于 2010-05-10T18:42:27.250 に答える