stunnel on window для соединения IBM MQ

Question

У кого-нибудь есть опыт или просто мысли по поводу защиты MQ TCP каналы связи с использованием stunnel?

Я интегрирован со сторонним S.W, у которого есть встроенная поддержка MQ, но он не может поддерживать SSL. Таким образом, чтобы иметь какую-то защиту по TCP, мы хотели бы использовать stunnel. Есть ли у кого-нибудь мысли о том, как реализовать и какие-либо лучшие практики

Answer 1

Я не использовал stunnel, поэтому оставлю эту часть ответа другому респонденту. Что касается WMQ, имейте в виду, что это обеспечит вам конфиденциальность данных и целостность данных по каналу Stunnel, но не даст вам услуги на уровне канала, такие как аутентификация WMQ. Правда, у вас будет некоторый уровень аутентификации на самом соединении Stunnel, но любой, у кого есть TCP-маршрут к QMgr, который не приходит через Stunnel, также сможет запустить этот канал.

Очевидно, что ваше требование безопасности включает в себя конфиденциальность данных. Если он также включает в себя аутентификацию и авторизацию, вам может потребоваться использовать что-то вроде BlockIP2 (от http://mrmq.dk) для фильтрации входящих соединений в этом канале по IP-адресу, чтобы гарантировать, что они поступают по каналу Stunnel. Конечно, ничто не мешает кому-то на удаленном конце указать любое имя канала для подключения, поэтому, если вы защищаете один канал, вам нужно защитить их все - т.е. убедитесь, что SYSTEM.DEF. * И SYSTEM.AUTO. * каналы отключены или что они используют SSL и / или выход для аутентификации входящего соединения.

Наконец, имейте в виду, что если WMQ настроен на прием идентификатора, предоставленного клиентом, то соединение имеет полный административный доступ, включая удаленное выполнение кода. Чтобы предотвратить это, вы должны настроить все входящие каналы (RCVR, RQSTR, CLUSRCVR и SVRCONN), которые не являются административными, с ID с низким уровнем привилегий в MCAUSER канала. Для любых каналов, предназначенных для администраторов, аутентифицируйте их с помощью SSL. (Надеемся, что ваше стороннее ПО является приложением, а не инструментом администрирования! Любой инструмент администрирования WMQ должен поддерживать SSL или не использовать его!)

Таким образом, во что бы то ни стало используйте stunnel для защиты этой ссылки, просто убедитесь, что остальная часть QMgr защищена или кто-либо, кто может законно подключиться (или даже анонимные удаленные пользователи, если вы оставите MCAUSER пустым и не используете SSL и / или выйдет) просто обойдёт безопасность или отключит её.

Есть копия презентации IMPACT Усиление безопасности WMQ на https://t -rob.net / links / , которая объясняет все это более подробно.

Answer 2

Роб - я с тобой согласен. Только для этого у нас есть MQIPT. Который намного лучше. Для STunnel для MQ я решил проблему.

Ключи -U нужен ключ .pem (Из диспетчера ключей вы можете создать .p12 и использовать open ssl для конвертации в .PEM).

Клиентская сторона: загрузка и установка stunnel содержат следующие записи в файле конфигурации

cert = XXX.pem
client = yes
[MQ]
accept  = 1415
connect = DestinationIP:1415

Сторона сервера:

cert = xxx.pem
client = no
[MQ]
accept  = 1415
connect = MQIP:1415

Как только вы сделаете это, все, что вам нужно сделать, это просто вызвать amquputc с именем Queue.