WebSphere Application Server V7、V8 和 V8.5 中的高級安全性加強8

33. 謹慎地限制可信的簽署者

在使用證書身份驗證（客戶端或伺服器）時，需要了解信任存儲庫中的每個簽署者都代表一個可信的身份信息（證書）提供者。您信任的簽署者應該儘可能少。否則，兩個簽署者頒發的證書有可能映射到同一個用戶身份。這會在架構中造成嚴重的安全漏洞。

應該檢查客戶端和伺服器上的信任存儲庫，刪除任何不需要的簽署者。在默認情況下，信任存儲庫包含的可信簽署者比以前的版本少得多，這有助於提高默認情況下的安全性。但是，仍然有幾個簽署者問題可能需要解決：

    在 V7 中，默認的計算單元信任存儲庫和 CMS 密鑰環文件包含一個 WebSphere DataPower 簽名證書，這意味著所有 DataPower 計算機都可以頒發應用伺服器所信任的證書。為了提高安全性，應該刪除它。在安裝最新的修復包後創建的 Truststore 和 CMS 密鑰環文件無需 DataPower 簽名證書即可創建。您應在 truststore 或密鑰環文件中檢查這個不必要的 DataPower 簽名文件，如果存在該文件則刪除它。

    在 V8.0 和 V8.5 中，DataPower 簽名證書已從生成的 truststore 和 CMS 密鑰環文件刪除。

34. 強制 CSIv2 傳輸使用 SSL

（這一項默認情況下已在 V8 中解決，這是一項行為更改。因此，從更早的 WebSphere Application Server 版本遷移且未啟用 CSIv2 SSL 的用戶應該知道，SSL 身份驗證失敗可能在 V8 中引起問題。）

當 WebSphere Application Server 伺服器和客戶端使用 CSIv2 IIOP 進行通信時，它們會就傳輸安全性進行協商，選擇對雙方來說都可以接受的形式。一般來說，這是可行的，但應該注意一個潛在的漏洞。WebSphere Application Server 支持 CSIv2 over SSL 或明文。在默認情況下，雙方通常會協商使用 SSL，確保建立一個經過加密的通信通道。然而，如果在協商中有任意一方請求使用明文，則將使用明文。您甚至可能不會意識到通信流是以明文方式發送的！這種問題是有可能出現的，例如，如果某個客戶端配置出錯的話。如果想要（也應該）保證通信流是加密的，更保險的做法是確保始終使用 SSL。

通過在 CSlv2 入站傳輸面板中指明 SSL 是必需的而不是可選的，確保對 IIOP 使用 SSL。對 CSIv2 出站傳輸也應該這樣做（圖 17）。

圖 17. 配置只使用 SSL

這一項不適用於 V8.5 中的 Liberty 配置文件，因為沒有提供對 EJB 或 CSIv2 的支持。

35. 考慮埠過濾

有時候，希望根據網路信息限制誰可以連接。儘管這樣的配置對於安全性不一定有價值，但是為了提供完整的說明，這裡仍將對它們進行討論。WebSphere Application Server 中的大多數傳輸（IIOP 除外）使用 Channel Framework，因此可以使用包含或排除列表，根據 IP 地址或 DNS 名稱來過濾入站通信流。

圖 18. 埠過濾

警告：偽造 IP 地址是相當容易的，所以依靠 IP 地址保證安全性是不明智的。在應用層上根據 IP 地址進行過濾尤其不明智。更好的做法是裝備防火牆和交換機，識別來自無效 IP 地址的數據包。它們還可以檢查 MAC 地址。

36. 考慮在傳出 SSL 連接上執行主機名驗證

當一個 SSL 客戶端打開一個與 SSl 伺服器的 SSL 連接時，伺服器將它的證書發送給客戶端。預期結果是 SSL 伺服器的證書將在它的常用名中包含主機名。一些客戶端會確認所提供的證書上的常用名是否與 URL 中的主機名匹配（比如 Web 瀏覽器會執行此檢查）。這稱為主機名驗證。

在某些情況下，此驗證的一次失敗可能表明存在 SSL 中間人攻擊：

    當證書由於是自簽名證書而受信任時，沒有必要執行主機名驗證。SSL 握手不會通過，除非提供的證書與受信任的證書完全匹配。

    當證書由於是由一個受信任 CA 頒發而受信任時，MITM 攻擊者可以返回同一個受信任 CA 為它頒發的合法證書來代替真正的證書。假設 CA 沒有頒發多個具有相同 CN 的證書，那麼主機名驗證就可以檢測到 MITM 攻擊者。

要啟用主機名驗證，必須設置一個安全自定義屬性 com.ibm.ssl.performURLHostNameVerification=true。