Sicherheitsfeatures zur Abschottung des Systems aktivieren und Hinweise für die Migration

In diesem Release von WebSphere Application Server werden standardmäßig mehr Sicherheitsfeatures für die Abschottung des Systems aktiviert. Bei der Migration werden die Einstellungen, die vor der Migration aktiv waren, beibehalten. Wenn die Features jedoch nach der Migration nicht aktiviert werden, können Sie sie manuell aktivieren.

Damit Sie sicherstellen können, dass WebSphere Application Server standardmäßig geschützt wird, wurden die folgenden Standardeinstellungen als Teil der neuen Sicherheitsfeatures zur Abschottung des Systems in WebSphere Application Server Version 8.0 geändert:

  • Aktivierung von Secure Sockets Layer (SSL) - standardmäßig erforderlich beim CSIv2-Transport (Common Secure Interoperability Version 2)

    Die folgenden Einstellungen sind für die CSIv2-Transportebene verfügbar: TCP/IP für eine TCP/IP-Verbindung, SSL-supported für eine TCP/IP- oder SSL-Verbindung und SSL-required für eine reine SSL-Verbindung. "SSL-required" ist die neue Standardeinstellung in diesem Release von WebSphere Application Server. Die Umstellung auf SSL-required als Standardeinstellung stellt sicher, dass alle CSIv2-Verbindungen, die beim Server ein- und abgehen die sichere SSL-Verbindung verwenden.

  • Standardmäßige Aktivierung des Attributs HttpOnly in LTPA-Cookies

    Wenn die angepasste Eigenschaft com.ibm.ws.security.addHttpOnlyAttributeToCookies auf true gesetzt wird, wird das Attribut HttpOnly zu den Sicherheitscookies (LTPA- und WASReqURL-Cookies) hinzugefügt, die vom Server erstellt werden. Das Attribut "HttpOnly" ist ein Browserattribut, das erstellt wird, um zu verhindern, dass clientseitige Anwendungen (wie z. B. Java-Scripts) auf Cookies zugreifen, um Schwachstellen aufgrund von Cross-Site Scripting zu verhindern. Dieses Attribut kann jetzt über die Administrationskonsole konfiguriert werden. Vor WebSphere Application Server Version 8.0, war die Standardeinstellung für die angepasste Eigenschaft "com.ibm.ws.security.addHttpOnlyAttributeToCookies" false. In WebSphere Application Server Version 8.0 ist die Standardeinstellung für das LTPA-Cookie und für das Sitzungscookie jetzt true.

    Weitere Informationen finden Sie in der Beschreibung der angepassten Eigenschaft "com.ibm.ws.security.addHttpOnlyAttributeToCookies" im Artikel zu den angepassten Sicherheitseigenschaften.

  • Standardmäßige Aktivierung der Integration der Sitzungssicherheit

    Nur authentifizierte Benutzer können auf Sitzungen zugreifen, die auf sicheren Seiten erstellt wurden. Die Funktion für Sitzungsverwaltung verwendet die Sicherheitsinfrastruktur, um die einer Client-HTTP-Anforderung zugeordnete authentifizierte Identität zu ermitteln, mit der eine Sitzung angefordert oder erstellt wird. Weitere Informationen zur Sitzungssicherheit finden Sie im Artikel zur Sitzungssicherheit.

    Neben der Integration der Sitzungssicherheit wird auch die Persistenz der Berechtigungsnachweise aktiviert. So sind Anmeldeinformationen auch für ungeschützte Web-Clients verfügbar und bieten weitere Möglichkeiten, auf Benutzerdaten zuzugreifen. Weitere Informationen zur Persistenz von Berechtigungsnachweisen finden Sie im Abschnitt "Verfügbare Authentifizierungsdaten beim Zugriff auf einen nicht geschützten URI verwenden" im Artikel zu den Einstellungen für die Webauthentifizierung.

Neue Sicherheitsfeatures zur Abschottung des Systems nach der Migration aktivieren

Wenn die neuen Sicherheitsfeatures nach der Migration nicht aktiviert werden, können Sie sie über die Administrationskonsole oder mit Scripting selbst aktivieren.

Standardmäßige Aktivierung von SSL unter CSIv2
Gehen Sie wie folgt vor, um SSL für eingehende und abgehende CSIv2-Transporte standardmäßig zu aktivieren:

Wählen Sie in der Administrationskonsole Sicherheit > Globale Sicherheit > RMI/IIOP > Eingehende CSIv2-Kommunikation aus. Wählen Sie im Feld "Transport" die Option SSL-required aus der Pulldown-Liste aus, und klicken Sie dann auf Anwenden.

Wiederholen Sie dieselben Schritte für die abgehende CSIv2-Kommunikation, und klicken Sie auf Sicherheit > Globale Sicherheit > RMI/IIOP > Abgehende CSIv2-Kommunikation. Wählen Sie im Feld "Transport" die Option SSL-required aus der Pulldown-Liste aus, und klicken Sie dann auf Anwenden.

Verwenden Sie die Befehle configureCSIInbound und configureCSIOutbound, um SSL für eingehende und abgehende CSIv2-Transporte mit Scripting standardmäßig zu aktivieren: Weitere Informationen finden Sie im Artikel "CSI-Authentifizierung mit Scripting konfigurieren".

Editieren Sie für die Clientseite die Datei "sas.client.props". Ändern Sie die Einstellung für com.ibm.CSI.performTransportAssocSSLTLSRequired in true und die Einstellung für com.ibm.CSI.performTransportAssocSSLTLSSupported in false.

Aktivierung des Attributs HttpOnly für Cookies
Gehen Sie wie folgt vor, um das Attribut HttpOnly in Cookies standardmäßig zu aktivieren:

Wenn Sie die Administrationskonsole verwenden möchten, klicken Sie auf Sicherheit > Globale Sicherheit > Angepasste Eigenschaften. Klicken Sie auf Neu. Geben Sie dann com.ibm.ws.security.addHttpOnlyAttributeToCookies als Namen und true als Wert ein.

Sie können das Attribut HttpOnly auch über die Administrationskonsole aktivieren, indem Sie auf Sicherheit > Globale Sicherheit > Single Sign-on (SSO) klicken. Klicken Sie auf "Sicherheitscookies auf HTTPOnly setzen, um Cross-Site-Scripting-Attacken zu verhindern" und dann auf Anwenden.

Gehen Sie wie folgt vor, um das HttpOnly-Attribut in Cookies mit Scripting standardmäßig zu aktivieren:

Aktivierung der Integration der Sitzungssicherheit
Zum Aktivieren der Sitzungssicherheitsintegration für jeden Server über die Administrationskonsole wählen Sie Server > Servertypen > WebSphere-Anwendungsserver > server1 > Sitzungsverwaltung aus. Wählen Sie das Kontrollkästchen Sicherheitsintegration aus.

Klicken Sie in der Administrationskonsole auf Sicherheit > Globale Sicherheit > Web- und SIP-Sicherheit > Allgemeine Einstellungen. Wählen Sie das Kontrollkästchen Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden aus.

Fehlerbehebung für Sicherheitsfeatures für die Abschottung des Systems

Wenn die neuen Features für die Abschottung des Systems aktiviert sind, sehen Sie möglicherweise Unterschiede im Systemverhalten, je nachdem, welche Umgebung Sie in der Vergangenheit verwendet haben.

Wenn Sie z. B. von einer Umgebung kommen, die für CSIv2-Transporte den Wert "SSL-supported" hatte, werden Sie keine Unterschiede feststellen, da "SSL-supported" mit TCP/IP- und mit SSL-Verbindungen kommuniziert. Tritt allerdings ein Problem auf, bedeutet das, dass Zertifikate möglicherweise nicht ordnungsgemäß ausgetauscht wurden, um die Kommunikation zwischen Client und Server zu ermöglichen. Weitere Informationen finden Sie im Artikel "Sichere Kommunikation mit SSL".

Wenn Sie in einer Umgebung gearbeitet haben, in der TCP/IP für die Verbindung zu CSIv2 verwendet wird, tritt möglicherweise ein Problem bei der SSL-fähigen CSIv2-Verbindung auf. Die Serverkonfiguration kann in SSL-supported oder TCP/IP geändert werden, wenn SSL nicht erforderlich ist.

Wenn das Attribut HttpOnly zu den Sicherheitscookies hinzugefügt wird, verhindert der Browser auf der Clientseite, dass Scripts auf diese Cookies zugreifen. In den meisen Fällen sollte dieses Standardverhalten zur Anwendung kommen, um Cross-Site-Scripting-Attacken zu vermeiden. Wenn clientseitigen Scripts der Zugriff auf WebSphere-Sicherheitcookies unbedingt gewährt werden muss und Sie sich über die möglichen Konsequenzen im Klaren sind, kann das Attribut "HttpOnly" inaktiviert werden.

Das Attribut "HttpOnly" kann unter Umständen clientseitige Scripts erkennen, die verwendet werden, um auf WebSphere-Cookies zuzugreifen, und diese dann verwenden, obwohl dies nicht beabsichtigt ist. Wenn dieser Fall eintritt, muss die Webanwendung, die den Scripts den Zugriff auf die WebSphere-Cookies ermöglicht, überprüft werden.

Wenn die integrierte Sicherheitsfunktion der Sitzung aktiviert ist, wird beim Aktivieren der Integration der Sitzungssicherheit möglicherweise eine Ausnahme vom Typ UnauthorizedSessionRequestException für Servlets ausgelöst, wenn diese auf eine Sitzung zugreifen, die einer anderen authentifizierten Identität zugeordnet ist als derjenigen, die derzeit Eignerin der Sitzung ist. Wenn Sie diese Überprüfung nicht wünschen, können Sie die Sitzungssicherheit auf dem Server, auf dem das Problem auftritt, inaktivieren.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sec_hardening
Dateiname:csec_sec_hardening.html