可以使用哪些通道属性在WebSphere MQ入站通道处理的不同点提供障碍,作为仅仅禁用它的替代方法?
答案 0 :(得分:1)
用于为入站通道提供障碍的最合适的方法是V7.1中引入的CHLAUTH规则。这允许您根据IP地址(或V8中的主机名),远程队列管理器名称或客户端用户ID或证书主题的DN(和/或V8中的颁发者DN)阻止/允许入站通道。
答案 1 :(得分:1)
从安全角度来看,在通道定义上使用多个控件的方法提供了一些冗余。例如,多年前,研究人员在通道协议中发现了一个错误(IBM快速修复了该错误),该通道允许通道启动,尽管MCAUSER应该阻止连接。如果MQ管理员完全依赖于MCAUSER值,那么在应用修复之前,通道将一直容易受到攻击。
出于这个原因,我通常建议在您希望禁用的频道中设置多个控件。这个想法是,如果一个控件失败,则通道无法进入安全状态。例如,您可以使用CHLAUTH来禁用频道,但如果您使用Broker的新代理配置向导,那么它(我上次检查)的第一件事就是禁用CHLAUTH。哎呦。
以下是一些可用于禁用频道的属性。请注意,如果您将这些应用于SYSTEM.DEF.*或SYSTEM.AUTO.*频道,则必须覆盖创建新合法频道的属性,因此请勿过度使用所有频道。或者,更确切地说,在您喜爱的帽子中存在的每层锡纸上使用一个控件。 ; - )
MCAUSER('*NOBODY'),因为星号不是用户ID中的有效字符。MQMD长度的内容。SSLCIPH,SSLCAUTH(REQUIRED)并确保SSLPEER具有不可能的值。CHLAUTH规则,但请确保在创建允许在合法渠道上访问的规则时,这些规则并不宽泛,以便授权访问您不想要的渠道。 请注意,这些解决了攻击者无法访问QMgr的问题。任何具有管理员访问权限的攻击者都会从每个MQ版本的saveqmgr保留模板。这允许攻击者提交包含所有必需属性的DEFINE命令,因此不会依赖SYSTEM.*个对象。但是,合法管理员必须使用相同的方法,或者至少要知道必须覆盖哪些属性才能定义新的渠道。
简而言之,这种方法提供了周边控制,权衡是管理开销。为了有效,请使用两个或更多不相关的控件(例如CHLAUTH,MCAUSER和无效的退出规范),将该设置合并到管理员的培训中,并且不要试图使用所有可能的控件因为这样做的成本上升速度快于收益。