IBM MQ SSL : Problèmes & Solutions



Documents pareils
Sécurité WebSphere MQ V 5.3

Explorateur WebSphere MQ Nouveautés version 7.5 & Plugins

Guide MQ du 6 Mars WebSphere MQ et Haute Disponibilité

BMC Middleware Management

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Fiche descriptive de module

TP 2 : Chiffrement par blocs

Authentification Unique (Single Sign-On)

La citadelle électronique séminaire du 14 mars 2002

Introduction à WebSphere MQ

Les fonctions de hachage, un domaine à la mode

Online Backup. & Recovery Service

S8 - Sécurité IBM i : nouveautés 6.1 et 7.1

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Cartographie du SI pour alimenter la CMDB

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

WEBSPHERE & RATIONAL. Jacques Rage

Architecte technique Senior Expert WebSphere/ WebSphere MQ / Message Broker

Présentation. LogMeIn Rescue. Architecture de LogMeIn Rescue

Conception Exécution Interopérabilité. Déploiement. Conception du service. Définition du SLA. Suivi du service. Réception des mesures

Automation Engine 10. Plates-formes prises en charge

Un nouveau modèle d'identité NFC compatible avec l'écosystème mobile, et cas d'usage

Aurélien Bordes. OSSIR 13 juillet 2010

Date de découverte 16 Octobre 2014 Révision du bulletin 1.0

Sécurité des réseaux wi fi

Automation Engine. System Requirements. Version: Date: Automic Software GmbH

EDITORIAL: Revente des produits U2 à Rocket Software

Payment Card Industry (PCI) Normes en matière de sécurité des données. Glossaire, abréviations et acronymes

VOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO

Valorisez vos actifs logiciels avec Rational Asset Manager. Jean-Michel Athané, Certified IT Specialist IBM Rational Software

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Informations de sécurité TeamViewer

Il est titulaire d'un baccalauréat en informatique de l'université de Montréal. Décembre 2014 à aujourd hui

Compromission d'un environnement VOIP Cisco Exploitation du Call Manager SSTIC Francisco. Juin 2013 LEXFO 1

SSL/TLS: Secure Socket Layer/Transport Layer Secure Quelques éléments d analyse. GRES 2006 Bordeaux 12 Mai Ahmed Serhrouchni ENST-PARIS CNRS

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

PRIMAVERA P6 ENTERPRISE PROJECT PORTFOLIO MANAGEMENT WEB SERVICES

Oracles Cryptographiques. Trouver une joke de padding

Réseaux Privés Virtuels

La haute disponibilité de la CHAINE DE

DLTA Deploy. Une offre unique de gestion de flotte mobile pour iphone, ipad & ipod touch. La solution de gestion de flotte mobile pour ios

Infrastructure Management

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Chapitre 2 : Abstraction et Virtualisation

DIPLOMES FORMATIONS. JRIBI Souhail 37 ans, Marié, 2 enfants. Ingénieur Réseaux et Sécurité. Tél : Mail : jribisouhail@yahoo.

SRS Day. Attaque BitLocker par analyse de dump mémoire

Virginie!SALAS Janvier!09! NFE107

Atelier Sécurité / OSSIR

Le protocole sécurisé SSL

Ingénieur Généraliste Spécialité Informatique

Windows (2000/NT), Solaris, AIX, HP-UX, Linux Haute disponibilité : SunCluster 3, Veritas Cluster Server 4. J2EE (JSP, Servlet, EJB, JTA), Open Source


BizTalk Server Principales fonctions

Rapport de certification

Sommaire. Comment ouvrir son système d information vers l extérieur? Solution : Concevoir une infrastructure de sécurité logique. Concepts associés.

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Evoluez au rythme de la technologie

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Chiffrement du système de fichiers EFS (Encrypting File System)

Analyse des protections et mécanismes de chiffrement fournis par BitLocker

CAHIER DES CHARGES D IMPLANTATION

Sécurité de l'information

Configuration système requise

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Action Spécifique Sécurité du CNRS 15 mai 2002

MAP Services. Infrastructures & Solutions

1. Présentation de WPA et 802.1X

VOTRE SOLUTION OPTIMALE D AUTHENTIFICATION

30 ans d ingénierie, 23 ans de conseil en architecture de SI

Programmation Réseau SSH et TLS (aka SSL)

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

R E S O T E L. Ingénierie des Systèmes Informatiques Réseaux et Télécommunications. Calendrier des Formations IT

WebSphere MQ & Haute Disponibilité

Sécurité des réseaux sans fil

EMV, S.E.T et 3D Secure

en SCÈNE RATIONAL Rational Démonstration SDP : automatisation de la chaîne de développement Samira BATAOUCHE sbataouche@fr.ibm.com

La sécurité des réseaux. 9e cours 2014 Louis Salvail

Plateforme IoT flexible et configurable:

Présentation des composants WhatsUp Companion & WhatsUp Companion Extended. Version Mars Orsenna

Rapport de certification

2011 et 2012 Arrow ECS. Partenaire Distribution EMEA. de l année

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Guide d utilisation de Secure Web Access

Eric DENIZOT José PEREIRA Anthony BERGER

DataPower SOA Appliances

IBM Endpoint Manager for Mobile Devices

Fiche Technique. Cisco Security Agent

Firewall Net Integrator Vue d ensemble

Universal MiddleWare Industrialyzer

Contrôle de l Activité et Gestion des Menaces dans un environnement Réseau Distribué. INTERDATA Présentation Q1Labs

Transcription:

IBM MQ SSL : Problèmes & Solutions Luc-Michel Demey LMD@demey-consulting.fr +33 6 08 755 655 Version 1.00 - Décembre 2014 Vulnérabilités SSL 2014 Heartbleed Poodle Elliptic Curve 2 IBM MQ SSL : Problèmes et solutions 1

Heartbleed Vulnérabilité logicielle dans le code de OpenSSL Présente depuis 03/2012 (version 1.0.1) Découverte en 03/2014 Publiée en 04/2014 : CVE-2014-0160 Corrigée en version 1.0.1g + 3 Impacts Récupération par le correspondants de blocs mémoire Le contenu de ces blocs peut être sensible Mots de passe, clés de sécurité SSL ou pas A priori exploité Impacts sur sites web, routeurs, applications Cisco, Juniper Android 4.1.1 Appliances Tous les runtimes utilisant OpenSSL 4 IBM MQ SSL : Problèmes et solutions 2

Impacts IBM WAS, IHS, WMQ/IIB et IBM MQ non vulnérables IBM Java JSSE non vulnérable Clients MQTT vulnérables Support Pac MAT1 - WebSphere MQ client for HP Integrity NonStop Server Support Pac MA9B - IBM Mobile Messaging and M2M Client Pack - Eclipse Paho MQTT C Client libraries for Linux & Windows platforms only 5 Poodle Poodle : Padding Oracle On Downgraded Legacy Encryption Faille de sécurité dans l architecture du protocole SSL 3.0 Présente depuis 15 ans? Publiée en 10/2014 : CVE-2014-3566 Non corrigeable passer en TLS 6 IBM MQ SSL : Problèmes et solutions 3

Impacts Permet de forcer la négociation d un lien SSL/TLS en SSL Facilite les attaques type man-in-the-middle Permet le décryptage progressif des flux échangés Tous les systèmes autorisant SSL v3 sont à priori impactés 7 Impact IBM Nombreux produits impactés, y compris WMQ : Domino, Notes, WAS, IHS, Mais uniquement si utilisation de ciphers SSL IBM MQ : Pas de négociation de cipher possible Donc pas d impact si utilisation d un cipher TLS 8 IBM MQ SSL : Problèmes et solutions 4

Solutions WMQ S assurer que les cipher utilisés sur chaque canal ne soient pas de type «SSL v3» Exemples de cipher SSL V3 : AES_SHA_US, RC4_SHA_US, RC4_MD5_US TRIPLE_DES_SHA_US, DES_SHA_EXPORT1024 RC4_56_SHA_EXPORT1024, RC4_MD5_EXPORT RC2_MD5_EXPORT, DES_SHA_EXPORT NULL_SHA, NULL_MD5 FIPS_WITH_DES_CBC_SHA, FIPS_WITH_3DES_EDE_CBC_SHA Note : L activation de FIPS empêche l utilisation des ciphers SSL v3 9 Activation de FIPS L activation de FIPS empêche l utilisation des ciphers SSL V3 Mais empêche également d autres ciphers : ECDHE_ECDSA_NULL_SHA256 ECDHE_ECDSA_RC4_128_SHA256 ECDHE_RSA_NULL_SHA256 ECDHE_RSA_RC4_128_SHA256 TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_NULL_SHA256 TLS_RSA_WITH_RC4_128_SHA256 Activation (niveau QMGR) : ALTER QMGR SSLFIPS(YES) 10 IBM MQ SSL : Problèmes et solutions 5

Elliptic Curve Chiffrement par «courbes elliptiques» (ECC) Clés plus courtes que via factorisation type RSA, sécurité équivalente ou supérieure Une clé de 200 bits en EC est équivalente à une clé de 1024 en RSA Utilisé dans les ciphers IBM MQ : ECDHE_ECDSA_NULL_SHA256 ECDHE_ECDSA_RC4_128_SHA256 ECDHE_RSA_NULL_SHA256 ECDHE_RSA_RC4_128_SHA256 11 Vulnérabilité Elliptic Curve «Timer attack» permettant en théorie de déduire une partie de la clé Publiée le 04/11/2014 (CVE-2014-0076) Impacte IBM GSKit, donc WMQ : IBM WebSphere MQ 8.0, including all maintenance levels. IBM WebSphere MQ 7.5, including all maintenance levels. IBM WebSphere MQ 7.1, including all maintenance levels. IBM WebSphere MQ 7.0.1, maintenance levels from 7.0.1.4 12 IBM MQ SSL : Problèmes et solutions 6

Bilan pour WMQ Heartbleed : pas d impact Poodle : Éviter les ciphers en SLL v3 Pas d impact en pratique si TLS Possibilité d activer FIPS ECC : Pas d impact en pratique FIPS n autorise pas ECC 13 Bilan pour WMQ Solution de facilité : Activer FIPS Avec précaution Choisir un cipher TLS 1.0 ou 1.2 Un bon choix : TLS_RSA_WITH_AES_128_CBC_SHA Disponible de MQ 7.0 à MQ 8.0 TLS 1.0 / SHA1 / AES128 Certifié FIPS TLS 1.2 en MQ 8.0 permet le «multi-certificat» 14 IBM MQ SSL : Problèmes et solutions 7

Conclusion Pour se protéger des «pirates» : pas de cipher de type «SSL» Pour se protéger des audits : activer FIPS 15 Sources https://fr.wikipedia.org/wiki/heartbleed https://www-304.ibm.com/connections/blogs/psirt/entry/openssl_heartbleed_cve_2014_0160 CVE-2014-0160 : http://www-01.ibm.com/support/docview.wss?uid=swg21669839 https://fr.wikipedia.org/wiki/poodle CVE-2014-3566 : http://www-01.ibm.com/support/docview.wss?uid=swg21687173 https://www-304.ibm.com/connections/blogs/psirt/entry/sslv3_vulnerable_to_cve_2014_3566_poodle_attack https://fr.wikipedia.org/wiki/cryptographie_sur_les_courbes_elliptiques CVE-2014-0076 : http://www-01.ibm.com/support/docview.wss?uid=swg21688949 Security Bulletin IBM : http://www-01.ibm.com/support/docview.wss?uid=swg21687433&myns=swgws&mynp=ocssfksj&mync=e Ciphers MQ V7.0.1 : http://www-01.ibm.com/support/knowledgecenter/ssfksj_7.0.1/com.ibm.mq.csqzaw.doc/ja34740_.htm?lang=fr Ciphers MQ V8.0 : http://www-01.ibm.com/support/knowledgecenter/ssfksj_8.0.0/com.ibm.mq.sec.doc/q014260_.htm FIPS : http://www-01.ibm.com/support/knowledgecenter/ssfksj_8.0.0/com.ibm.mq.sec.doc/q010140_.htm Images wikimedia 16 IBM MQ SSL : Problèmes et solutions 8

Page blanche intentionnellement 17 IBM MQ SSL : Problèmes et solutions 9

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back