Меню

Усиление настроек SSL/TLS за счет использования безопасных типов шифрования на сервере приложений NetWeaver AS Java 7.0x и 6.40

|

В этой статье затрагиваются вопросы усиления безопасности шифрования для сервера приложений NetWeaver AS Java (v. 7.0 и старше) и на том, как уменьшить вероятность  атаки BEAST. С точки зрения настроек SSL различие в том, что версии AS Java 7.10 и выше используют менеджер подключения к Сети (ICM), а более старые – Web Dispatcher. Диспетчер поддерживает соединения с клиентами, в том числе отвечает за SSL/TLS-соединения.

Усиление настроек SSL/TLS за счет использования безопасных типов шифрования на сервере приложений NetWeaver AS Java 7.0x и 6.40

Опубликовано Питером Тодоровым в IT Security & Risk Office, 11 марта 2013 г.

В одной из предыдущих заметок я уже описывал, как защитить SAP NetWeaver AS ABAP (все версии) и AS Java версии 7.10 и выше. Эта дополнительная заметка необходима, потому что мы зачастую вынуждены работать во множестве систем, в том числе с более древними версиями, чем 7.10.

В этой статье я остановлюсь на вопросе усиления безопасности шифрования для сервера приложений NetWeaver AS Java (v. 7.0 и старше) и на том, как уменьшить вероятность  атаки BEAST. С точки зрения настроек SSL различие в том, что версии AS Java 7.10 и выше используют менеджер подключения к Сети (ICM), а более старые – Web Dispatcher. Диспетчер поддерживает соединения с клиентами, в том числе отвечает за SSL/TLS-соединения.

Подготовка к работе:

Необходимым условием для внедрения описываемой конфигурации является настроенный и запущенный SSL/TLS на сервере приложений.

Предупреждение:

Как я уже упоминал в предыдущих записях в блоге, необходим баланс между усилением настроек шифрования с целью уменьшения вероятности BEAST-атак и удобством использования сервиса. Усиление шифрования предполагает поддержку сервером только безопасных шифров. Если у клиента хоть что-то в системе (например, браузер) не поддерживает шифры, навязываемые сервером, то будет невозможно установить зашифрованное соединение. Это может привести к недовольству клиентов, которые не смогут воспользоваться вашими услугами. В данной заметке я стараюсь найти золотую середину между безопасностью системы и удобством ее использования для клиентов.

Усиление настроек шифрования:

Для настройки SSL/TLS-шифров на сервере приложений я выбрал инструмент под названием Visual Administrator. Запустите его и подключитесь к системе, настройки которой вы хотите усилить. В навигационном дереве пройдите в закладку Cluster, далее Dispatcher → Services → SSL Provider. В нижнем правом углу находится закладка Cipher Suite со списком настроенных шифров.

По умолчанию около 50 (в зависимости от версии) типов шифрования настроено и активно в системе. Наша задача состоит в том, чтобы:

  • убрать незащищенные шифры;
  • из сокращенного набора шифров отдать приоритет более безопасным над менее безопасными (мы оставляем менее безопасные шифры активными

Если хотите прочитать статью полностью и оставить свои комментарии присоединяйтесь к sapland

У вас уже есть учетная запись?

Войти