WebSphere DMZ Secure Proxy Server for IBM WebSphere Application Server

DMZ Secure Proxy Server for IBM® WebSphere Application Server kann verwendet werden, um für Ihren Proxy-Server eine sichere Plattform bereitzustellen.

Veraltetes Feature Veraltetes Feature: Der DMZ Secure Proxy Server ist für WebSphere Application Server Traditional Version 9.0 veraltet. depfeat
[z/OS]Wichtig: DMZ Secure Proxy Server ist für die Verwendung mit dem Betriebssystem z/OS für WebSphere Application Server Traditional Version 9.0 nicht verfügbar.

DMZ Secure Proxy Server for IBM WebSphere Application Server ermöglicht die Installation des Proxy-Servers in einer Demilitarized Zone (DMZ). Auf diese Weise wird das Risiko verringert, das entstehen kann, wenn ein Anwendungsserver in der Demilitarized Zone installiert wird, der als Host für einen Proxy-Server fungiert. Das Risiko wird verringert, indem alle Funktionen entfernt werden, die für das Hosting der Proxy-Server nicht erforderlich sind, und die ein Sicherheitsrisiko darstellen könnten. Die Installation des sicheren Proxy-Servers in der Demilitarized Zone anstatt in der gesicherten Zone erzeugt neue Sicherheitsrisiken. Die Leistungseigenschaften des sicheren Proxy-Servers schützen jedoch vor diesen Risiken.

Folgende Leistungseigenschaften sind verfügbar, um die Sicherheit des DMZ Secure Proxy Server zu verbessern und die Sicherheitsstufe zu ermitteln, die festgelegt werden soll:
Benutzerberechtigungen beim Start
Der Prozess des sicheren Proxy-Servers kann so geändert werden, dass er nach dem Start als nicht privilegierter Benutzer ausgeführt wird. Obwohl der sichere Proxy-Server als privilegierter Benutzer gestartet werden muss, können Sie für lokale Betriebsressourcen einen zusätzlichen Schutz erzielen, wenn Sie den Serverprozess anschließend so ändern, dass er als nicht privilegierter Benutzer ausgeführt wird.
Routing-Aspekte
Der sichere Proxy-Server kann so konfiguriert werden, dass er Anforderungen an die Zielserver auf der Basis von statischen Routing-Informationen oder auf der Basis von dynamischen Informationen weiterleitet. Der Begriff des statischen Routing bedeutet, dass der Server die Routing-Informationen aus lokalen Flachdateien abruft. Der Begriff des dynamischen Routing bedeutet, dass der Server die Routing-Informationen über eine HTTP-Tunnelverbindung (Hypertext Transfer Protocol) zwischen dem Proxy-Server und einem Server in der gesicherten Zone abruft. Der Verwendung des statischen Routing wird eine höhere Sicherheit zugeschrieben, weil beim dynamischen Routing eine zusätzliche Verbindung durch die innere Firewall erforderlich ist. Das statische Routing ist nur für HTTP-Anforderungen gültig.
Verwaltungsoptionen
Der sichere Proxy-Server beinhaltet keinen Web-Container und kann daher keine Administrationskonsole enthalten. Es empfiehlt sich, keinen Web-Container in einem DMZ Secure Proxy Server zu verwenden, da das Hosting von Anwendungsartefakten als Sicherheitsrisiko eingestuft wird und den Speicherbedarf des Proxy-Servers unnötig erhöht. Der sichere Proxy-Server wird separat installiert und verfügt über mehrere Verwaltungsoptionen, die Auswirkungen auf die Sicherheit haben.
Fehlerbehandlung
Der sichere Proxy-Server kann für spezifische Fehlercodes oder Gruppen von Fehlercodes angepasste Fehlerseiten verwenden. Eine Anwendung für angepasste Fehlerseiten kann verwendet werden, um Fehlernachrichten zu generieren, oder Flachdateien mit angepassten Fehlerseiten können lokal auf dem Dateisystem gespeichert und während der Laufzeit verwendet werden. Die Verwendung von Flachdateien mit angepassten Fehlerseiten anstelle einer angepassten Fehleranwendung bietet einen höheren Grad an Sicherheit. Wenn Sie diese Option auswählen, wird der Codepfad begrenzt und es ist nicht erforderlich, eine Anwendung auszuführen, die möglicherweise nicht berechtigt ist, wenn eine Fehlerseite benötigt wird.
Schutz vor Denial-of-Service-Attacken
Der Schutz vor Denial-of-Service-Attacken wird durch Aufnahme von zwei Eigenschaften sichergestellt: die maximale Blockgröße für den Anforderungshauptteil und die maximale Blockgröße für den Antworthauptteil. Diese Eigenschaften müssen so eingestellt werden, dass sie eine optimale Ausgewogenheit erzielen zwischen Zugriffsschutz und Leistungseinbußen, die bei nicht ordnungsgemäßer Einstellung dieser Eigenschaften zu erwarten sind.
Beim Erstellen des DMZ Secure Proxy Server können Sie eine hohe, mittlere oder niedrige Sicherheitsstufe auswählen.
  • Niedrige DMZ-Sicherheitsstufe
    Tabelle 1. Standardwerte für die niedrige DMZ-Sicherheitsstufe. In der folgenden Tabelle sind die Einstellungen und Standardwerte für die niedrige DMZ-Sicherheitsstufe beschrieben.
    Einstellung Standardwert
    Startberechtigungen Ausführung als privilegierter Benutzer
    Routing Dynamisches Routing
    Verwaltung Ferne Verwaltung
    Fehlerbehandlung Lokale Behandlung von Fehlerseiten
  • Mittlere DMZ-Sicherheitsstufe
    Tabelle 2. Standardwerte für die mittlere DMZ-Sicherheitsstufe. In der folgenden Tabelle sind die Einstellungen und Standardwerte für die mittlere DMZ-Sicherheitsstufe beschrieben.
    Einstellung Standardwert
    Startberechtigungen Ausführung als nicht privilegierter Benutzer
    Routing Dynamisches Routing
    Verwaltung Lokale Verwaltung
    Fehlerbehandlung Lokale Behandlung von Fehlerseiten
  • Hohe DMZ-Sicherheitsstufe
    Tabelle 3. Standardwerte für die hohe DMZ-Sicherheitsstufe. In der folgenden Tabelle sind die Einstellungen und Standardwerte für die hohe DMZ-Sicherheitsstufe beschrieben.
    Einstellung Standardwert
    Startberechtigungen Ausführung als nicht privilegierter Benutzer
    Routing Statisches Routing
    Verwaltung Lokale Verwaltung
    Fehlerbehandlung Lokale Behandlung von Fehlerseiten
Wichtig: Die hohe DMZ-Sicherheitsstufe kann für SIP-Proxy-Server nicht verwendet werden, da für SIP-Proxy-Server kein statisches Routing verwendet werden kann.

Zusätzlich zu diesen vordefinierten Einstellungen können Sie die Einstellungen an Ihre Anforderungen anpassen. Wenn Sie die Einstellungen anpassen, wird der Sicherheitsstufe des DMZ Secure Proxy Server trotzdem eine qualitative Kategorisierung der Sicherheitsstufe zugeordnet, die aktuelle Sicherheitsstufe. Jeder angepassten Einstellung ist einer der Werte Hoch, Mittel oder Niedrig zugeordnet. Die aktuelle Sicherheitsstufe entspricht dem Wert der niedrigsten verwendeten Sicherheitseinstellung. Damit die aktuelle Sicherheitsstufe den Wert Hoch erhält, dürfen nur Einstellungen konfiguriert werden, denen der Wert "Hoch" zugeordnet wurde. Damit die aktuelle Sicherheitsstufe den Wert Mittel erhält, dürfen nur Einstellungen konfiguriert werden, denen der Wert "Hoch" oder "Mittel" zugeordnet wurde. Wenn einer der Einstellungen der Wert Niedrig zugeordnet wurde, wird die aktuelle Sicherheitsstufe Niedrig verwendet.

Eine zusätzliche Änderung, die dem besseren Schutz des DMZ Secure Proxy Server dient, ist der Wechsel von einer Java™ Development Kit (JDK) zu einer Java Runtime Environment (JRE). Durch den Wechsel von einer JDK zu einer JRE ist es nicht mehr erforderlich, einen Compiler in die Installation einzubauen. Diese Änderung ist deshalb vorteilhaft, weil der Compiler im Fall von Sicherheitsverletzungen für zerstörerische Zwecke missbraucht werden könnte.

[IBM i]Für i5/OS-Systeme ist derzeit keine JRE verfügbar. Daher wird eine JDK verwendet. Wenn Sie sich gegen diese Art Sicherheitsrisiko schützen möchten, können Sie die Datei tools.jar manuell aus dem JDK-Installationsstammverzeichnis entfernen.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cjpx_secpxdmz
Dateiname:cjpx_secpxdmz.html