Усиление настроек SSL/TLS за счет использования безопасных типов шифрования на сервере приложений NetWeaver AS Java 7.0x и 6.40
В этой статье затрагиваются вопросы усиления безопасности шифрования для сервера приложений NetWeaver AS Java (v. 7.0 и старше) и на том, как уменьшить вероятность атаки BEAST. С точки зрения настроек SSL различие в том, что версии AS Java 7.10 и выше используют менеджер подключения к Сети (ICM), а более старые – Web Dispatcher. Диспетчер поддерживает соединения с клиентами, в том числе отвечает за SSL/TLS-соединения.
Усиление настроек SSL/TLS за счет использования безопасных типов шифрования на сервере приложений NetWeaver AS Java 7.0x и 6.40
Опубликовано Питером Тодоровым в IT Security & Risk Office, 11 марта 2013 г.
В одной из предыдущих заметок я уже описывал, как защитить SAP NetWeaver AS ABAP (все версии) и AS Java версии 7.10 и выше. Эта дополнительная заметка необходима, потому что мы зачастую вынуждены работать во множестве систем, в том числе с более древними версиями, чем 7.10.
В этой статье я остановлюсь на вопросе усиления безопасности шифрования для сервера приложений NetWeaver AS Java (v. 7.0 и старше) и на том, как уменьшить вероятность атаки BEAST. С точки зрения настроек SSL различие в том, что версии AS Java 7.10 и выше используют менеджер подключения к Сети (ICM), а более старые – Web Dispatcher. Диспетчер поддерживает соединения с клиентами, в том числе отвечает за SSL/TLS-соединения.
Подготовка к работе:
Необходимым условием для внедрения описываемой конфигурации является настроенный и запущенный SSL/TLS на сервере приложений.
Предупреждение:
Как я уже упоминал в предыдущих записях в блоге, необходим баланс между усилением настроек шифрования с целью уменьшения вероятности BEAST-атак и удобством использования сервиса. Усиление шифрования предполагает поддержку сервером только безопасных шифров. Если у клиента хоть что-то в системе (например, браузер) не поддерживает шифры, навязываемые сервером, то будет невозможно установить зашифрованное соединение. Это может привести к недовольству клиентов, которые не смогут воспользоваться вашими услугами. В данной заметке я стараюсь найти золотую середину между безопасностью системы и удобством ее использования для клиентов.
Усиление настроек шифрования:
Для настройки SSL/TLS-шифров на сервере приложений я выбрал инструмент под названием Visual Administrator. Запустите его и подключитесь к системе, настройки которой вы хотите усилить. В навигационном дереве пройдите в закладку Cluster, далее Dispatcher → Services → SSL Provider. В нижнем правом углу находится закладка Cipher Suite со списком настроенных шифров.
По умолчанию около 50 (в зависимости от версии) типов шифрования настроено и активно в системе. Наша задача состоит в том, чтобы:
- убрать незащищенные шифры;
- из сокращенного набора шифров отдать приоритет более безопасным над менее безопасными (мы оставляем менее безопасные шифры активными
Если хотите прочитать статью полностью и оставить свои комментарии присоединяйтесь к sapland
ЗарегистрироватьсяУ вас уже есть учетная запись?
Войти