Есть ли у кого-нибудь опыт или просто мысли об обеспечении MQ TCP каналов связи с использованием stunnel?stunnel on window для подключения IBM MQ
Я интегрируюсь с сторонним разработчиком S.W, который поддерживает MQ, но не поддерживает SSL. Поэтому, чтобы иметь какую-то безопасность по TCP, мы хотели бы использовать stunnel. Есть ли у кого-нибудь какие-либо мысли о том, как реализовать и какие-либо рекомендации?
Я не использовал stunnel, поэтому я оставлю эту часть ответа другому ответчику. Что касается WMQ, имейте в виду, что это предоставит вам конфиденциальность данных и целостность данных по ссылке stunnel, но будет не предоставить вам услуги уровня канала, такие как аутентификация WMQ. Правда, у вас будет определенный уровень аутентификации в самом соединении stunnel, но любой, у кого есть TCP-маршрут к QMgr, который не приходит через stunnel, также сможет запустить этот канал.
Ваше требование к безопасности, очевидно, включает конфиденциальность данных. Если это также включает проверку подлинности и авторизацию, вам может потребоваться использовать что-то вроде BlockIP2 (от http://mrmq.dk), чтобы фильтровать входящие соединения на этом канале по IP-адресу, чтобы гарантировать, что они прибывают по ссылке stunnel. Конечно, нет ничего, что помешало бы кому-то на удаленном конце указать любое имя канала для подключения, поэтому, если вы защищаете один канал, вам необходимо их обеспечить - т.е. убедитесь, что SYSTEM.DEF. * И SYSTEM.AUTO. * каналы отключены или что они используют SSL и/или выход для аутентификации входящего соединения.
Наконец, имейте в виду, что если WMQ настроен на прием идентификатора, представленного клиентом, то соединение имеет полный административный доступ и включает в себя удаленное выполнение кода. Чтобы этого не произошло, должен настроить все входящие каналы (RCVR, RQSTR, CLUSRCVR и SVRCONN), которые не являются административными с низким привилегированным идентификатором в MCAUSER канала. Для любых каналов, предназначенных для администраторов, аутентифицируйте их с помощью SSL. (Надеюсь, ваша третья сторона SW является приложением, а не административный инструмент! Любой WMQ администратора инструмент сусло поддержка SSL или еще не использовать!)
Так все средства использовать Stunnel, чтобы обеспечить эту связь, просто убедитесь, что остальная часть QMgr или кто-либо, кто может законно подключиться (или даже анонимные удаленные пользователи, если вы оставите MCAUSER пустым и не используете SSL и/или выходы) просто обойдутся безопасностью или отключите его.
Есть копия презентации IMPACT Укрепление безопасности WMQ по адресу https://t-rob.net/links/, в котором объясняется все это более подробно.
Rob - Я согласен с тобой. Для этого у нас только MQIPT. Что намного лучше. Для STunnel для MQ я столкнулся с проблемой.
Ключи - нужен ключ .pem (из Key manager вы можете создать .p12 и использовать open ssl для скрытого доступа к .PEM).
Client Side: Загрузка и установка Stunnel имеет follwoing записи в конфигурационном файле серта = XXX.pem клиента = да [MQ] принимает = 1415 = соединять DestinationIP: 1415
стороны сервера:
cert = xxx.PEM клиента = нет [MQ] не принимает = 1415 подключения = MQIP: 1415
После того, как вы сделаете это все, что вы должны сделать, это просто позвонить amquputc с именем очереди.