Configuraciones de los estándares de seguridad de WebSphere Application Server

WebSphere Application Server puede configurarse para trabajar con diferentes estándares de seguridad, que suelen utilizarse para cumplir con los requisitos de seguridad gubernamentales.

Nota: WebSphere Application Server integra módulos criptográficos, que incluyen Java™ Secure Socket Extension (JSSE) y Java Cryptography Extension (JCE). La mayoría de los requisitos de los estándares se gestionan en JSSE y JCE, que deben someterse a un proceso de certificación para cumplir los estándares gubernamentales. WebSphere Application Server debe configurarse para ejecutarse con JSSE y JCE habilitado para un estándar en particular y ahora da soporte a los estándares de seguridad FIPS 140-2, SP800-131 y Suite B.
  • FIPS 140-2 equivale a Federal Information Processing Standards (Estándar federal de procesamiento de información o FIPS) y especifica los requisitos en los módulos criptográficos. Muchos usuarios pueden utilizar este nivel de configuración, pero puede que tengan que actualizarse a un estándar más reciente SP800-131 o Suite B.

    Consulte el sitio web del National Institute of Standards and Technology para obtener más información sobre el estándar 140-2.

    Para configurar FIPS 140-2, consulte el tema Configuración de los archivos JSSE (Java Secure Socket Extension) aprobados por FIPS (Federal Information Processing Standard).

  • SP800-131 es un requisito exigido por The National Institute of Standards and Technology (NIST) que necesita longitudes de clave más largas y criptografía más estricta. La especificación también proporciona una configuración de transición para permitir a los usuarios pasar al estricto cumplimiento de SP800-131. La configuración de transición también permite a los usuarios la ejecución con una combinación de valores tanto de FIPS140-2 como de SP800-131. SP800-131 puede ejecutarse en dos modos, transición y estricto.
    El cumplimiento estricto de los requisitos de SP800-131 en WebSphere Application Server incluye lo siguiente:
    • El uso del protocolo TLSv1.2 para el contexto SSL (Secure Sockets Layer).
    • Los certificados deben tener una longitud mínima de 2048. El certificado Elliptical Curve (EC) requiere un tamaño mínimo de curvas de 244 bits.
    • Los certificados deben firmarse con un algoritmo de firma de SHA256, SHA384 o SHA512. Los algoritmos de firma válidos incluyen las siguientes firmas:
      • SHA256withRSA
      • SHA384withRSA
      • SHA512withRSA
      • SHA256withECDSA
      • SHA384withECDSA
      • SHA512withECDSA
    • Suites de cifrado aprobadas para SP800-131

    Consulte el sitio web del National Institute of Standards and Technology para obtener más información sobre el estándar SP800-131.

    Consulte el tema Transición de WebSphere Application Server al estándar de seguridad SP800-131 para obtener información sobre cómo realizar la transición de WebSphere Application Server al estándar estricto SP800-131. Consulte el tema Configuración de la modalidad estricta del estándar SP800-131 en WebSphere Application Server para obtener información sobre cómo configurar SP800-131.

  • Suite B es un requisito elaborado por NAS (National Security Agency) que especifica una estrategia de interoperatividad criptográfica. Este estándar es similar a SP800-131 con algunas restricciones más estrictas. La Suite B se puede ejecutar en dos modalidades: 128 bits o 192 bits. El archivo de políticas con restricciones proporciona el cifrado de la modalidad de 128 bits, y es el que se aplica de forma predeterminada. Si utiliza la modalidad de 192 bits, debe aplicar el archivo de políticas sin restricciones en el JDK para que se pueda utilizar el cifrado más estricto que requiere la modalidad de 192 bits.

    La siguiente tabla lista los tamaños de clave máximos que el archivo de políticas con restricciones permite para los algoritmos IBMJCE e IBMJCECCA. >Los usuarios que requieren un cifrado más fuerte deben utilizar el archivo de políticas sin restricciones.

    Tabla 1. Valores del archivo de políticas con restricciones
    Algoritmo Tamaño máximo de clave en bits
    DES 64
    DESede 96
    RC2 128
    RC4 128
    RC5 128
    RSA 2048
    Todos los otros algoritmos 128

    Para aplicar los archivos de políticas sin restricciones, copie los archivos US_export_policy.jar y local_policy.jar desde el directorio INICIO_WAS/java/J5.0/lib/security al directorio INICIO_WAS/java/J5.0/demo/jce/policy-files/unrestricted.

    Los requisitos de la Suite B en WebSphere Application Server son:
    • El uso del protocolo TLSv1.2 para el contexto SSL
    • Suites de cifrado aprobadas para Suite B
    • Certificados:
      • Los certificados de la modalidad de 128 bits deben firmarse con SHA256withECDSA
      • Los certificados de la modalidad de 192 bits deben firmarse con SHA384withECDSA
    • Cifrados:
      • SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.

    Consulte el tema Configuración de WebSphere Application Server para el estándar de seguridad Suite B para obtener información sobre cómo configurar la Suite B.

Propiedades utilizadas para habilitar los estándares de seguridad

IBM® Virtual Machine para Java (JVM) se ejecuta en una modalidad de seguridad concreta basada en las propiedades del sistema. WebSphere Application Server establece estas propiedades del sistema de acuerdo con los valores de configuración de seguridad. La configuración de seguridad puede establecerse mediante la consola de administración o mediante tareas de administración de scripts. Si una aplicación establece estas propiedades directamente, puede afectar a las comunicaciones SSL de WebSphere Application Server.

Tabla 2. Propiedades del sistema JVM para habilitar el estándar de habilitar
Estándar de seguridad Propiedad del sistema que se va a habilitar Valores válidos
FIPS 140-2 com.ibm.jsse2.usefipsprovider true o false
SP800-131 com.ibm.jsse2.sp800-131 transition o strict
Suite B com.ibm.jsse2.suiteB 128 o 192

La configuración de WebSphere Application Server borra todas estas propiedades si se han establecido y, a continuación, las establece tal y como especifica la configuración de seguridad. WebSphere Application Server habilita el estándar de seguridad en función de las propiedades personalizadas establecidas en la configuración de seguridad.

Propiedades personalizadas de seguridad de WebSphere Application Server para habilitar el estándar de seguridad

Tabla 3. Propiedades personalizadas de seguridad de WebSphere Application Server para habilitar el estándar de seguridad
Estándar de seguridad Propiedades personalizadas de seguridad Propiedad del sistema JVM
FIPS 140-2

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=FIPS140-2

com.ibm.jsse2.usefipsprovider=true
SP800-131- transition

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=transition

com.ibm.jsse2.sp800-131=transition
SP800-131 estricto

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=SP800-131

com.ibm.jsse2.sp800-131=strict
Suite B 128

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=128

com.ibm.jsse2.suiteB=128
Suite B 192

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=192

com.ibm.jsse2.suiteB=192

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_security_standards
File name: csec_security_standards.html