Consideraciones sobre las características de habilitación y migración de la protección de la seguridad

En este release de WebSphere Application Server, se han habilitado de manera predeterminada más características de protección de seguridad del servidor. Durante la migración, se conservan los valores que estaban habilitado antes de la migración. No obstante, si las características no se habilitan después de la migración, puede habilitarlas manualmente.

Para asegurarse de que la configuración de WebSphere Application Server se ha establecido para que sea segura de forma predeterminada, los valores predeterminados siguientes se han cambiado como parte de las nuevas características de protección de la seguridad en WebSphere Application Server Versión 8.0:

  • Habilitación de SSL (Secure Sockets Layer): obligatorio en el transporte CSIv2 (Common Secure Interoperability version 2) de manera predeterminada

    Existen los valores siguientes para la capa de transporte CSIv2: TCP/IP para una conexión TCP/IP, Da soporte a SSL para una TCP/IP o una conexión SSL y Precisa SSL para una conexión sólo SSL. Precisa SSL es el nuevo valor predeterminado en este release de WebSphere Application Server. Si conmuta a Precisa SSL como valor predeterminado garantiza que todas las conexiones CSIv2 de entrada y salida del servidor utilicen la conexión de SSL segura.

  • Habilitación del atributo HttpOnly en cookies LTPA de forma predeterminada

    Cuando la propiedad personalizada com.ibm.ws.security.addHttpOnlyAttributeToCookies se establece en true, el atributo HttpOnly se añade a las cookies de seguridad (cookies LTPA y WASReqURL) que ha creado el servidor. El atributo HttpOnly es un atributo de navegador creado para impedir que las aplicaciones del lado del cliente (como por ejemplo scripts Java™) accedan a las cookies para evitar algunas vulnerabilidades de scripts de sitios cruzados. Este atributo ahora es configurable en la consola administrativa. Antes de WebSphere Application Server Versión 8.0, la propiedad personalizada com.ibm.ws.security.addHttpOnlyAttributeToCookies predeterminada era false. En WebSphere Application Server Versión 8.0, el valor predeterminado es true tanto para la cookie LTPA como para la cookie de sesión.

    Para obtener más información, consulte la propiedad personalizada com.ibm.ws.security.addHttpOnlyAttributeToCookies en el artículo sobre Propiedades personalizadas de seguridad.

  • Habilitación de la integración de seguridad de sesión de forma predeterminada

    Sólo los usuarios autenticados pueden acceder a las sesiones que se crean en páginas seguras. El recurso de gestión de sesiones usa la infraestructura de seguridad para determinar la identidad autenticada que está asociada con una solicitud HTTP de cliente, y recupera o crea una sesión. Para obtener más información sobre la seguridad de la sesión, consulte el artículo sobre soporte de seguridad de sesiones.

    Además de habilitar la integración de la seguridad de sesión, la persistencia de credenciales también se habilita. Esto permite que la información de inicio de sesión esté disponible para los clientes web desprotegidos a fin de habilitar un acceso adicional a la información del usuario. Para obtener más información sobre la persistencia de credenciales, consulte la sección "Utilizar los datos de autenticación disponibles cuando se accede a un URI no protegido" del artículo de valores de autenticación web.

Habilitación de las nuevas de características de protección de la seguridad después de la migración

Si las nuevas características de seguridad no están habilitadas después de la migración, puede habilitarlas utilizando la consola administrativa o mediante scripts.

Habilitación de SSL de forma predeterminada en CSIv2
Para habilitar SSL de forma predeterminada para los transportes de entrada y salida en CSIv2:

Si utiliza la consola administrativa, seleccione Seguridad > Seguridad global > RMI/IIOP > Comunicaciones entrantes de CSIv2. En el recuadro Transporte, seleccione Precisa SSL en la lista desplegable y, a continuación, pulse Aplicar.

Repita los mismos pasos para las comunicaciones salientes de CSIv2 y pulse en Seguridad > Seguridad global > RMI/IIOP > Comunicaciones salientes de CSIv2. En el recuadro Transporte, seleccione Precisa SSL en la lista de menú y, a continuación, pulse Aplicar.

Si desea habilitar SSL de forma predeterminada para los transportes de entrada y salida en CSIv2 utilizando scripts, utilice los mandatos configureCSIInbound y configureCSIOutbound. Consulte el tema Configuración de autenticación de CSI (Common Secure Interoperability) mediante scripts para obtener más información.

Para el lado del cliente, edite el archivo sas.client.props. Cambie el valor de com.ibm.CSI.performTransportAssocSSLTLSRequired a true y el de com.ibm.CSI.performTransportAssocSSLTLSSupported a false.

Habilitación del atributo de cookies HttpOnly
Para habilitar el atributo HttpOnly en las cookies de forma predeterminada:

Si está utilizando la consola administrativa, pulse Seguridad > Seguridad global > Propiedades personalizadas. Pulse Nuevo y especifique com.ibm.ws.security.addHttpOnlyAttributeToCookies para el nombre y true para el valor.

También puede habilitar el atributo HttpOnly mediante la consola administrativa, pulsando Seguridad > Seguridad global > Inicio de sesión único (SSO). Pulse Establecer cookies de seguridad en HTTPOnly para ayudar a prevenir ataques de scripts de sitios cruzados y, a continuación, pulse Aplicar.

Para habilitar el atributo HttpOnly en las cookies de forma predeterminada utilizando scripts, utilice el mandato setAdminActiveSecuritySettings.

Habilitación de la integración de seguridad de sesión
Para habilitar la integración de seguridad de sesión para cada servidor mediante la consola administrativa, seleccione Servidores > Tipos de servidor > Servidores de aplicaciones de WebSphere > servidor1 > Gestión de sesiones. Seleccione el recuadro de selección de integración de seguridad.

Para habilitar credenciales persistentes de la consola administrativa, pulse Seguridad > Seguridad global > Web y seguridad de SIP > Valores generales. Seleccione el recuadro Utilizar los datos de autenticación disponibles cuando se accede a un URI no protegido.

Resolución de problemas de las características de protección de seguridad

Cuando se habilitan las nuevas características de protección de seguridad, puede ver algunas diferencias en el comportamiento del sistema en función del entorno que haya utilizado en el pasado.

Por ejemplo, si procede de un entorno donde se ha establecido el transporte CSIv2 en el valor predeterminado anterior de Da soporte a SSL, no verá ninguna diferencia, ya que Da soporte a SSL se comunica con conexiones TCP/IP y SSL. No obstante, si se encuentra un problema, es posible que los certificados no se hayan intercambiado correctamente para habilitar la comunicación entre el cliente y el servidor. Para obtener más información, lea el tema Comunicaciones seguras utilizando SSL (Secure Sockets Layer).

Si ha trabajado en un entorno donde se utiliza TCP/IP para conectarse a CSIv2, es posible que experimente problemas con la conexión CSIv2 habilitada para SSL. La configuración del servidor se puede modificar para Da soporte a SSL o para TCP/IP si no se requiere SSL.

Para el atributo HttpOnly, cuando el atributo se añade a las cookies de seguridad, el navegador impide que los scripts del lado del cliente accedan a estas cookies. En la mayoría de los casos, éste debe ser el comportamiento predeterminado para minimizar vulnerabilidades de scripts entre sitios. Si hay una necesidad absoluta de permitir que los scripts del lado cliente accedan a las cookies de seguridad de WebSphere y conoce las posibles consecuencias, el valor del atributo HttpOnly se puede inhabilitar.

Sin embargo, el atributo HttpOnly posiblemente puede descubrir los scripts de cliente que se utilizan para acceder a las cookies de WebSphere y utilizarlos posteriormente aunque no se pretendiera hacerlo. Si ocurre esto, debe evaluarse la aplicación web que permite a los scripts acceder a las cookies de WebSphere.

Para habilitar la integración de seguridad de sesión, cuando la seguridad integrada de sesión está habilitada, puede recibir una excepción UnauthorizedSessionRequestException en servlets si accede a una sesión que pertenezca a identidades autenticadas distintas de la identidad que actualmente es propietaria de la sesión. Si no desea que se produzca esta comprobación, puede inhabilitar la seguridad de sesión del servidor que está experimentando el problema.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sec_hardening
File name: csec_sec_hardening.html