Configuraciones de los estándares de seguridad de WebSphere Application Server
WebSphere Application Server puede configurarse para trabajar con diferentes estándares de seguridad, que suelen utilizarse para cumplir con los requisitos de seguridad gubernamentales.
- FIPS 140-2 equivale a Federal Information Processing Standards (Estándar
federal de procesamiento de información o FIPS) y especifica los requisitos en los
módulos criptográficos. Muchos usuarios pueden utilizar
este nivel de configuración, pero puede que tengan que actualizarse a un estándar más
reciente SP800-131 o Suite B.
Consulte el sitio web del National Institute of Standards and Technology para obtener más información sobre el estándar 140-2.
Para configurar FIPS 140-2, consulte el tema Configuración de los archivos JSSE (Java Secure Socket Extension) aprobados por FIPS (Federal Information Processing Standard).
- SP800-131 es un requisito exigido por The National Institute of Standards and
Technology (NIST) que necesita longitudes de clave más largas y criptografía más
estricta. La especificación también proporciona una configuración de transición para
permitir a los usuarios pasar al estricto cumplimiento de SP800-131. La configuración de transición también permite a los usuarios la
ejecución con una combinación de valores tanto de FIPS140-2 como de SP800-131. SP800-131 puede ejecutarse en dos modos, transición y
estricto.El cumplimiento estricto de los requisitos de SP800-131 en WebSphere Application Server incluye lo siguiente:
- El uso del protocolo TLSv1.2 para el contexto SSL (Secure Sockets Layer).
- Los certificados deben tener una longitud mínima de 2048. El certificado Elliptical Curve (EC) requiere un tamaño mínimo de curvas de 244 bits.
- Los certificados deben firmarse con un algoritmo de firma de SHA256, SHA384 o SHA512. Los algoritmos de firma válidos incluyen las siguientes firmas:
- SHA256withRSA
- SHA384withRSA
- SHA512withRSA
- SHA256withECDSA
- SHA384withECDSA
- SHA512withECDSA
- Suites de cifrado aprobadas para SP800-131
Consulte el sitio web del National Institute of Standards and Technology para obtener más información sobre el estándar SP800-131.
Consulte el tema Transición de WebSphere Application Server al estándar de seguridad SP800-131 para obtener información sobre cómo realizar la transición de WebSphere Application Server al estándar estricto SP800-131. Consulte el tema Configuración de la modalidad estricta del estándar SP800-131 en WebSphere Application Server para obtener información sobre cómo configurar SP800-131.
- Suite B es un requisito elaborado por NAS (National Security Agency) que
especifica una estrategia de interoperatividad criptográfica.
Este estándar es similar a SP800-131 con algunas restricciones más estrictas.
La Suite B
se puede ejecutar en dos modalidades: 128 bits o 192 bits. El archivo de políticas con restricciones proporciona el cifrado de la modalidad de 128 bits, y es el que se aplica de forma predeterminada. Si utiliza la
modalidad de 192 bits, debe aplicar el archivo de políticas sin restricciones en el JDK
para que se pueda utilizar el cifrado más estricto que requiere la modalidad de 192 bits.
La siguiente tabla lista los tamaños de clave máximos que el archivo de políticas con restricciones permite para los algoritmos IBMJCE e IBMJCECCA. >Los usuarios que requieren un cifrado más fuerte deben utilizar el archivo de políticas sin restricciones.
Tabla 1. Valores del archivo de políticas con restricciones Algoritmo Tamaño máximo de clave en bits DES 64 DESede 96 RC2 128 RC4 128 RC5 128 RSA 2048 Todos los otros algoritmos 128 Para aplicar los archivos de políticas sin restricciones, copie los archivos US_export_policy.jar y local_policy.jar desde el directorio INICIO_WAS/java/J5.0/lib/security al directorio INICIO_WAS/java/J5.0/demo/jce/policy-files/unrestricted.
Los requisitos de la Suite B en WebSphere Application Server son:- El uso del protocolo TLSv1.2 para el contexto SSL
- Suites de cifrado aprobadas para Suite B
- Certificados:
- Los certificados de la modalidad de 128 bits deben firmarse con SHA256withECDSA
- Los certificados de la modalidad de 192 bits deben firmarse con SHA384withECDSA
- Cifrados:
- SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.
Consulte el tema Configuración de WebSphere Application Server para el estándar de seguridad Suite B para obtener información sobre cómo configurar la Suite B.
Propiedades utilizadas para habilitar los estándares de seguridad
IBM® Virtual Machine para Java (JVM) se ejecuta en una modalidad de seguridad concreta basada en las propiedades del sistema. WebSphere Application Server establece estas propiedades del sistema de acuerdo con los valores de configuración de seguridad. La configuración de seguridad puede establecerse mediante la consola de administración o mediante tareas de administración de scripts. Si una aplicación establece estas propiedades directamente, puede afectar a las comunicaciones SSL de WebSphere Application Server.
Estándar de seguridad | Propiedad del sistema que se va a habilitar | Valores válidos |
---|---|---|
FIPS 140-2 | com.ibm.jsse2.usefipsprovider | true o false |
SP800-131 | com.ibm.jsse2.sp800-131 | transition o strict |
Suite B | com.ibm.jsse2.suiteB | 128 o 192 |
La configuración de WebSphere Application Server borra todas estas propiedades si se han establecido y, a continuación, las establece tal y como especifica la configuración de seguridad. WebSphere Application Server habilita el estándar de seguridad en función de las propiedades personalizadas establecidas en la configuración de seguridad.
Propiedades personalizadas de seguridad de WebSphere Application Server para habilitar el estándar de seguridad
Estándar de seguridad | Propiedades personalizadas de seguridad | Propiedad del sistema JVM |
---|---|---|
FIPS 140-2 | com.ibm.security.useFips=true |
com.ibm.jsse2.usefipsprovider=true |
SP800-131- transition | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=transition |
SP800-131 estricto | com.ibm.security.useFips=true |
com.ibm.jsse2.sp800-131=strict |
Suite B 128 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=128 |
Suite B 192 | com.ibm.security.useFips=true |
com.ibm.jsse2.suiteB=192 |