lmd @demey -consulting

Sécurité WebSphere MQ V 5.3Sécurité WebSphere MQ V 5.3

LucLuc--MichelMichel DemeyDemey

Demey ConsultingDemey Consultinglmdlmd@@demeydemey--consulting.frconsulting.fr

Guide MQ du 21/03/2003

© Demey Consulting, 2003.© Demey Consulting, 2003. Guide MQ du 21/03/2003Guide MQ du 21/03/2003 22

Sécurité WebSphere MQ 5.3

PlanPlan

•• Les besoinsLes besoins

•• Les technologiesLes technologies

•• Apports de la version 5.3Apports de la version 5.3

•• Mise en œuvreMise en œuvre

•• Cas pratiquesCas pratiques

•• Intérêt et limitesIntérêt et limites

WebSphere MQ et la sécuritéWebSphere MQ et la sécurité

Les BesoinsLes Besoins



Sécurité MQ : Les besoins (1)Sécurité MQ : Les besoins (1)

•• Contrôle des droits d’accès aux objets MQContrôle des droits d’accès aux objets MQ

–– Queues Queues

•• droits d’utilisation (put, droits d’utilisation (put, getget, …), …)

•• droits d’administration (droits d’administration (alteralter, , clearclear, …), …)

–– ChannelsChannels

•• Droits d’administration (Droits d’administration (startstart/stop, /stop, alteralter, …), …)

–– Exits de channel (record / Exits de channel (record / chgchg du flux)du flux)

Gestion de ces droits par l’OS (+MQ)Gestion de ces droits par l’OS (+MQ)




•• Droits d’administrationDroits d’administration–– Administration localeAdministration locale

•• Gestion par les droits OS + MQGestion par les droits OS + MQ

–– Administration distanteAdministration distante•• Ouverture du Command Serveur : comment filtrer les accès ?Ouverture du Command Serveur : comment filtrer les accès ?

•• Clients MQClients MQ–– Identification ?Identification ?

–– Client Java !Client Java !




•• Sécurité Niveau Transport (Sécurité Niveau Transport (channelschannels))•• Entre clients et serveursEntre clients et serveurs

•• Entre serveursEntre serveurs

–– Identification du partenaireIdentification du partenaire

–– Intégrité des donnéesIntégrité des données

–– Confidentialité des donnéesConfidentialité des données



Sécurité MQ : Synthèse des besoinsSécurité MQ : Synthèse des besoins

•• AuthentificationAuthentification–– Niveau utilisateur (quel user ?)Niveau utilisateur (quel user ?)–– Niveau QM (quel serveur ?)Niveau QM (quel serveur ?)–– Niveau client (quel poste / user ?)Niveau client (quel poste / user ?)

•• IntégritéIntégrité–– Niveau Queue (contenu)Niveau Queue (contenu)–– Niveau Channel (ligne)Niveau Channel (ligne)–– Niveau configuration (Niveau configuration (AlterAlter …)…)

•• ConfidentialitéConfidentialité–– Niveau QueueNiveau Queue–– Niveau Channel (ligne)Niveau Channel (ligne)

•• NonNon--répudiationrépudiation–– Niveau message Niveau message applicatifapplicatif

WebSphere MQ et la sécuritéWebSphere MQ et la sécurité

Les TechnologiesLes Technologies



Les technologiesLes technologies

•• Commandes MQ niveau OS : Commandes MQ niveau OS : setmqautsetmqaut

•• Exit de sécurité niveau channelExit de sécurité niveau channel

•• Scellement de messagesScellement de messages

•• Chiffrement de messagesChiffrement de messages

•• Certificats, PKI, SSLCertificats, PKI, SSL



ScellementScellement

PrincipePrincipe : détecter toute altération d’un flux: détecter toute altération d’un flux

•• Calcul d’un hachage du flux (MD5, SHA, …)Calcul d’un hachage du flux (MD5, SHA, …)

•• Ajout du hachage au flux en tant que Ajout du hachage au flux en tant que trailertrailer

•• A l’arrivée, reA l’arrivée, re--calcul du hachage :calcul du hachage :–– MD5 = MD5 = trailertrailer : le flux est intact: le flux est intact

–– MD5 MD5 # # trailertrailer : le flux a été altéré: le flux a été altéré

ProblèmeProblème : et si le pirate recalcule le hachage: et si le pirate recalcule le hachage ??



ChiffrementChiffrement

•• Clés secrètesClés secrètes

•• Clés asymétriques (biClés asymétriques (bi--clé)clé)

•• CertificatsCertificats



Chiffrement Chiffrement –– Clés secrètesClés secrètes

•• Chiffrement symétriqueChiffrement symétrique

•• La même clé est connue des deux La même clé est connue des deux correspondants (mot de passe)correspondants (mot de passe)

•• Cette clé sert à chiffrer et à déchiffrer un fluxCette clé sert à chiffrer et à déchiffrer un flux

–– Exemples : DES, IDEA, RC2, RC4, …Exemples : DES, IDEA, RC2, RC4, …

Problème : gestion & diffusion des clésProblème : gestion & diffusion des clés



Chiffrement Chiffrement –– Clés AsymétriquesClés Asymétriques

•• Pour Pour unun utilisateur, on a utilisateur, on a deuxdeux clés reliées par une clés reliées par une relation mathématiquerelation mathématique

•• Ce qui est chiffré par une clé peut être déchiffrée par Ce qui est chiffré par une clé peut être déchiffrée par l’autre (et vicel’autre (et vice--versa)versa)

•• BiBi--clé : clé : –– clé publique (largement diffusée)clé publique (largement diffusée)

+ +

–– clé privée (conservée par le propriétaire)clé privée (conservée par le propriétaire)

•• Utilisation : Utilisation : –– Chiffrement Chiffrement

–– Signature (authentification)Signature (authentification)



Clés Asymétriques : utilisation en chiffrementClés Asymétriques : utilisation en chiffrement

ExempleExemple ::

•• Bob veut envoyer une information Bob veut envoyer une information confidentielle à Aliceconfidentielle à Alice

•• Bob chiffre son message avec la clé publique Bob chiffre son message avec la clé publique d’Aliced’Alice

•• Seule Alice pourra déchiffrer le message, Seule Alice pourra déchiffrer le message, grâce à sa clé privéegrâce à sa clé privée



Clés Asymétriques : utilisation en signatureClés Asymétriques : utilisation en signature

•• Alice veut « signer » un message envoyé à Bob.Alice veut « signer » un message envoyé à Bob.

•• Alice crée un hachage de son message, chiffre le résultat avec sAlice crée un hachage de son message, chiffre le résultat avec sa clé a clé privée, et ajoute le résultat chiffré au message.privée, et ajoute le résultat chiffré au message.

•• Bob, à la réception du message :Bob, à la réception du message :

–– recalcule le hachage à partir du message , et obtient S1recalcule le hachage à partir du message , et obtient S1

–– déchiffre, avec la clé publique d’Alice le hachage reçu dans le déchiffre, avec la clé publique d’Alice le hachage reçu dans le message, et obtient S2message, et obtient S2

•• Si S1 = S2 :Si S1 = S2 :

–– C’est bien Alice qui a envoyé ce messageC’est bien Alice qui a envoyé ce message

–– Et il n’a pas été altéré durant le transportEt il n’a pas été altéré durant le transport

•• Si S1 Si S1 ## S2 : Expéditeur incorrect ou message altéré !S2 : Expéditeur incorrect ou message altéré !



Synthèse clés asymétriquesSynthèse clés asymétriques

•• La combinaison La combinaison chiffrementchiffrement + + signaturesignature permet :permet :

–– la confidentialité des échangesla confidentialité des échanges

–– L’authentification des correspondantsL’authentification des correspondants

maismais ……

•• Le chiffrement asymétrique est très lourd en calculLe chiffrement asymétrique est très lourd en calcul

�� Chiffrement via clé symétrique générée à la volée, envoyée au Chiffrement via clé symétrique générée à la volée, envoyée au partenaire chiffrée en asymétriquepartenaire chiffrée en asymétrique

•• On authentifie la clé, pas son propriétaire !On authentifie la clé, pas son propriétaire !

�� Mise en place des certificatsMise en place des certificats



Les certificatsLes certificats

Besoin : identifier l’utilisateur d’une cléBesoin : identifier l’utilisateur d’une clé

•• Certificat :Certificat :

–– Carte d’identité électroniqueCarte d’identité électronique

–– Contient la clé publique du propriétaireContient la clé publique du propriétaire

–– Contient des informations sur le propriétaire Contient des informations sur le propriétaire

(nom, département, société, adresse, mail, …)(nom, département, société, adresse, mail, …)

–– Contenu certifié (« scellé ») par une autorité de certification Contenu certifié (« scellé ») par une autorité de certification (CA), publique ou privée(CA), publique ou privée

•• Norme X509Norme X509

•• Délivrés par une CA commerciale ou interneDélivrés par une CA commerciale ou interne



Public Key InfrastructurePublic Key Infrastructure

•• Infrastructure pour :Infrastructure pour :–– Générer les clésGénérer les clés

–– Certifier les clés publiques (certificats)Certifier les clés publiques (certificats)

–– Distribuer et révoquer les certificatsDistribuer et révoquer les certificats

•• Logiciels du commerceLogiciels du commerce

•• Logiciels Open SourceLogiciels Open Source–– Open SSLOpen SSL



SSL SSL –– SecureSecure SocketSocket Layer Layer -- V3V3

Permet l’échange sécurisé de données sur TCP/IPPermet l’échange sécurisé de données sur TCP/IP

•• Utilise :Utilise :–– Le chiffrement par clé symétriqueLe chiffrement par clé symétrique–– Le chiffrement par clé asymétriqueLe chiffrement par clé asymétrique–– Les certificatsLes certificats

•• Apporte :Apporte :–– La confidentialité des échangesLa confidentialité des échanges–– L’intégrité des échangesL’intégrité des échanges–– L’identification du partenaireL’identification du partenaire

•• Exemples :Exemples :–– SSH (« SSH (« TelnetTelnet » sécurisé)» sécurisé)–– Certificats des serveurs WebCertificats des serveurs Web–– Tunnels IP entre routeurs, VPN, ..Tunnels IP entre routeurs, VPN, ..–– Et bien sûr WebSphere MQ version 5.3Et bien sûr WebSphere MQ version 5.3

WebSphere MQ : Apports de la version 5.3WebSphere MQ : Apports de la version 5.3



Apports de WebSphere 5.3Apports de WebSphere 5.3

•• Outil de manipulation des certificatsOutil de manipulation des certificats

–– iKeymaniKeyman / / MQExplorerMQExplorer / / amqmcertamqmcert / DCM/ DCM

•• Chiffrement des échanges Chiffrement des échanges channelschannels en SSL V3en SSL V3

–– Pour toutes les platesPour toutes les plates--formes 5.3 client et serveurformes 5.3 client et serveur

•• MotsMots--clés niveau Queue Manager / Clientclés niveau Queue Manager / Client

–– Association d’un Association d’un keyringkeyring au QM /clientau QM /client

•• MotsMots--clés niveau channelclés niveau channel

–– SSLCIPH (RC4_MD_US, DES_SHA_EXPORT, … )SSLCIPH (RC4_MD_US, DES_SHA_EXPORT, … )

–– SSLPEER ( …) SSLPEER ( …) (filtre par DN)(filtre par DN)

–– SSLAUTH (SSLAUTH (REQUIREDREQUIRED | OPTIONNAL)| OPTIONNAL)

WebSphere MQ 5.3 & SSLWebSphere MQ 5.3 & SSL

Mise en œuvreMise en œuvre



Mise en œuvre du SSLMise en œuvre du SSL

Trois étapes :Trois étapes :

•• Certificats & ClésCertificats & Clés

•• Magasin de clésMagasin de clés

•• Modifications WebSphere MQModifications WebSphere MQ



Certificats & ClésCertificats & Clés

•• Certificat du CA (Certification Certificat du CA (Certification AuthorityAuthority))

–– En format .CRTEn format .CRT

•• Certificat personnelCertificat personnel

–– Pour chaque Queue ManagerPour chaque Queue Manager

–– Pour l’utilisateur (si client MQ)Pour l’utilisateur (si client MQ)

–– En format PKCS12En format PKCS12

Le Le FriendlyNameFriendlyName du certificat personnel doit être :du certificat personnel doit être :

�� Si Unix ou AS/400 : Si Unix ou AS/400 : ibmwebspheremqibmwebspheremq<<nom_qmnom_qm> >

�� Si client Unix : Si client Unix : ibmwebspheremqibmwebspheremq<<profil_utilisateurprofil_utilisateur>>

�� Si z/OS : Si z/OS : ibmwebsphereMQibmwebsphereMQ<<nom_du_qmnom_du_qm>>



Magasin de clésMagasin de clés

SynonymeSynonyme : : CertificateCertificate Store, Store, KeyringKeyring, , keykey repositoryrepository

•• Unix : Création / Gestion par Unix : Création / Gestion par iKeymaniKeyman(livré avec WebSphere MQ, WAS, IHS, Tivoli, …)(livré avec WebSphere MQ, WAS, IHS, Tivoli, …)

Existe en mode commande ou en graphique X11Existe en mode commande ou en graphique X11

•• Windows : Windows : –– amqmcertamqmcert (mode commande)(mode commande)

–– Via l’explorateur WebSphere MQ (si Queue Manager)Via l’explorateur WebSphere MQ (si Queue Manager)

•• AS/400 : DCM AS/400 : DCM -- Digital Digital CertificateCertificate ManagerManager–– Via un navigateur web, sur les ports 2001 ou 2010Via un navigateur web, sur les ports 2001 ou 2010

•• z/OS : gestion par RACFz/OS : gestion par RACF



Modifications WebSphere MQModifications WebSphere MQ

•• Affectation du Affectation du keyringkeyring : : –– au Queue Manager : ALTER QMGR SSLKEYR( )au Queue Manager : ALTER QMGR SSLKEYR( )

–– au client MQ : variable d’environnement MQSSLKEYR ou dans le au client MQ : variable d’environnement MQSSLKEYR ou dans le MQCONNXMQCONNX

•• Modification des Modification des channelschannels ::SENDER/RECEIVER ou SVRCONN/CLNTCONN :SENDER/RECEIVER ou SVRCONN/CLNTCONN :

–– Paramètres SSLCIPH(…) & SSLCAUT(REQUIRED)Paramètres SSLCIPH(…) & SSLCAUT(REQUIRED)

•• Affectation du certificat au client si MQ Client WinAffectation du certificat au client si MQ Client Win–– Par numéro d’ordre dans le magasin de cléPar numéro d’ordre dans le magasin de clé



Modifications WebSphere MQModifications WebSphere MQ

Paramètres optionnelsParamètres optionnels

•• Support du HW Crypto : Support du HW Crypto : ALTER QMGR SSLCRYPTALTER QMGR SSLCRYPT

Unités IBM 4758 et ICSFUnités IBM 4758 et ICSF

Hardware dédié sur Hardware dédié sur HPUxHPUx, , SolarisSolaris, Aix, Aix

•• Support des listes de révocation Support des listes de révocation –– via LDAPvia LDAP


Cas PratiquesCas Pratiques



Cas Pratique 1Cas Pratique 1

•• Secteur économique : distributionSecteur économique : distribution

•• Contexte : échanges de bons de commande / livraisonContexte : échanges de bons de commande / livraison

•• Systèmes : 2 x QM sur Win 2000 & AixSystèmes : 2 x QM sur Win 2000 & Aix

•• Objectif : confidentialité des fluxObjectif : confidentialité des flux

•• Solution : Solution :

–– Passage en version 5.3Passage en version 5.3

–– Génération de deux certificats Génération de deux certificats autosignésautosignés ((iKeymaniKeyman))

–– Activation du SSL sur les Activation du SSL sur les channelschannels



Cas pratique 2Cas pratique 2

•• Secteur économique : BanqueSecteur économique : Banque•• Contexte : Administration sécurisée de WebSphere MQContexte : Administration sécurisée de WebSphere MQ•• Systèmes : 6 Unix & 20 QM, postes WinNTSystèmes : 6 Unix & 20 QM, postes WinNT•• Objectif : Limiter l’administration MQ aux seuls postes Objectif : Limiter l’administration MQ aux seuls postes

autorisésautorisés•• Solution : Solution :

–– Passage en version 5.3Passage en version 5.3–– Installation du client MQ & MO71 sur les postes WinNTInstallation du client MQ & MO71 sur les postes WinNT–– Génération d’un CA et de certificats personnels pour les Génération d’un CA et de certificats personnels pour les

utilisateurs NT et les QM (OpenSSL)utilisateurs NT et les QM (OpenSSL)–– Activation du SSL sur un channel client dédié à l’Activation du SSL sur un channel client dédié à l’adminsitrationadminsitration–– Fermeture des autres Fermeture des autres channelschannels SVRCONNSVRCONN–– Certificats sur clé USB (en cours)Certificats sur clé USB (en cours)


Intérêt et LimitesIntérêt et Limites



Intérêt du SSL sur WebSphere MQ 5.3Intérêt du SSL sur WebSphere MQ 5.3

Le support du SSL :Le support du SSL :

•• ApporteApporte–– Le chiffrement des liens (QM à QM / QM à client)Le chiffrement des liens (QM à QM / QM à client)

–– L’intégrité des donnéesL’intégrité des données

–– L’authentification des partenairesL’authentification des partenaires

•• Permet la sécurisation de l’administration distantePermet la sécurisation de l’administration distante

•• Pour un coût très faiblePour un coût très faible–– Upgrade 5.3Upgrade 5.3

–– Gestion des certificatsGestion des certificats

–– RessourcesRessources



Limites du SSL sur WebSphere MQ 5.3Limites du SSL sur WebSphere MQ 5.3

•• Attention aux performances si trafic élevéAttention aux performances si trafic élevé

–– Ségrégation du trafic par Ségrégation du trafic par multimulti--channelchannel

–– Unités de chiffrement hardwareUnités de chiffrement hardware

–– Upgrade CPUUpgrade CPU

•• Pas d’authentification de bout en boutPas d’authentification de bout en bout

•• Pas de protection des messages dans les queues Pas de protection des messages dans les queues (hors celle de l’OS et du (hors celle de l’OS et du setmqautsetmqaut))

•• Sécurisation des « Sécurisation des « CertificateCertificate StoreStore »»



ConclusionConclusion

•• Fonctions attendues par le marchéFonctions attendues par le marché

•• Relativement rapide à mettre en œuvreRelativement rapide à mettre en œuvre

–– Compétence WMQ + PKI nécessaireCompétence WMQ + PKI nécessaire

•• Offre un excellent niveau de protectionOffre un excellent niveau de protection

–– Pour les domaines considérésPour les domaines considérés



Retrouvez cette présentation sur :Retrouvez cette présentation sur :

http://consulting.demey.org/http://consulting.demey.org/

rubrique « Fiches Techniques »rubrique « Fiches Techniques »Luc-Michel [email protected]+33 6 08 755 655

lmd @demey -consulting

Documents