Configurando a conformidade para o NIST SP 800-131A no DWA

É possível configurar o IBM® Engineering Requirements Management DOORS - Web Access (DWA) para se comunicar por meio de soquetes seguros em conformidade com o padrão National Institute of Standards and Technology (NIST) Special Publication (SP) 800-131A. Esse padrão especifica os algoritmos que devem ser usados para intensificar a segurança e os requisitos mínimos de segurança de criptografia necessários para os algoritmos.

Antes de Iniciar

Configure o DWA para estar em conformidade com o Federal Information Processing Standard (FIPS) 140-2.

Sobre Esta Tarefa

Para configurar o DWA para estar em conformidade com SP 800-131A, modifique os valores de configuração do servidor Apache Tomcat para rejeitar solicitações com certificados que não atendem aos pontos fortes de criptografia mínimos necessários. Deve-se utilizar um provedor de segurança que esteja em conformidade com o FIPS 140-2 e configurar suas propriedades de sistema para executarem no modo SP 800-131A. Essa configuração assegura que você esteja usando o protocolo e os conjuntos de cifras adequados.

Para conformidade exata, os algoritmos da segurança da chave e da assinatura também são verificados. A conformidade estrita permite apenas o protocolo TLS 1.2. Deve-se assegurar-se de que os certificados, as chaves e o gerador do número aleatório seguro, se especificados, obedeçam ao SP 800-131A.

Importante: Se você especificar o protocolo TLS 1,2, consulte a documentação do fornecedor para determinar se seu navegador suporta essa versão.

Quando o DWA está ativado para suportar o SP800-131A no modo estrito, todos os serviços remotos também devem ser configurados para suportar o modo estrito SP 800-131A. Se um serviço remoto não suportar os requisitos mínimos para o modo restrito do SP 800-131A, que solicitação pedido para esse serviço falhará.

A configuração do DWA para estar em conformidade com o NIST SP 800-131A envolve estas etapas:
  • No script de inicialização Apache Tomcat, configure os parâmetros do sistema que especificam o protocolo SSL e o modo SP 800-131A. Configure um parâmetro de conjunto de cifras para restringir as solicitações realizadas para serviços remotos.
  • Modifique a configuração do servidor Apache Tomcat para aceitar apenas protocolos e conjuntos de cifras específicos.
  • Assegure-se de que as chaves criptográficas atendam aos requisitos mínimos de segurança da chave de 112 bits.
  • Assegure-se de que as assinaturas digitais sejam, no mínimo, SHA2 e 2048 bits.

Procedimento

  1. Abra o arquivo de script de inicialização do Apache Tomcat em um editor e inclua parâmetros para o protocolo SSL, o nível de conformidade SP 800-131A e os conjuntos de cifras. Na entrada com.ibm.jsse2.usefipsprovider que você incluiu para FIPS 140-2, inclua as entradas JAVA_OPTS para estes parâmetros:
    Parâmetro Valor
    https.protocols Configure para TLSv1.2. O protocolo deve ser compatível com os protocolos que estão ativadas no servidor remoto.
    com.ibm.jsse2.sp800-131 Configure para restrito.
    https.cipherSuites Insira um conjunto de cifras suportado. Esse parâmetro restringe as cifras que são usadas por solicitações realizadas para serviços remotos. Esses conjuntos de cifras devem ser compatíveis com os conjuntos de cifras configurados para o servidor remoto.
    • Nos sistemas Windows, o arquivo de script server.start.bat está no diretório de instalação do DWA; por exemplo, C:\Program Files\IBM\Rational\DOORS Web Access\version. Este exemplo inclui os valores necessários para o protocolo SSL e os parâmetros de nível de conformidade, e um exemplo de conjuntos de cifras suportados:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Em sistemas Linux, o arquivo de script server.start.sh está no diretório de instalação do DWA. Este exemplo inclui os valores necessários para o protocolo SSL e os parâmetros de nível de conformidade, e um exemplo de conjuntos de cifras suportados:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    Para conformidade exata, os algoritmos da segurança da chave e da assinatura também são verificados. A conformidade estrita permite apenas o protocolo TLS 1.2. Deve-se assegurar-se de que todos os certificados, chaves e o gerador seguro de números aleatórios, se especificados, obedeçam aos SP 800-131A.

  2. Salve e feche o arquivo.
  3. Abra o arquivo server.xml do Apache Tomcat em um editor. Esse arquivo está na instalação do DWA no diretório server/conf; por exemplo, C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf
  4. Na seção conector HTTPS, configure os valores sslProtocol e sslEnabledProtocols para a versão mínima do TLS, que se baseia no valor que é determinado pelo valor da propriedade do sistema com.ibm.jsse2.sp800-131; por exemplo:
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    Para obter mais informações sobre a seção do conector HTTPS, consulte Configurando o DWA para usar SSL ou TLS.
  5. Configure os conjuntos de cifras para restringir ainda mais o que o servidor aceita. O valor para essa entrada deve corresponder ao valor que é utilizado no parâmetro https.cipherSuites no script de inicialização do servidor, conforme descrito na etapa 1; por exemplo:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Assegure-se que o Secure Sockets Layer (SSL) seja configurado para usar apenas um conjunto de cifras aprovado para SP 800-131A. Para obter uma lista de conjuntos de cifras, consulte "Conjuntos de CifrasIBM JSSE2" em Informações relacionados.

O que Fazer Depois

Atualize os navegadores clientes para um que suporte a versão mínima do TLS. A versão mínima do TLS é determinada pelo valor que é especificado na propriedade sslProtocol que está no arquivo server.xml .

Assegure-se de que os certificados de cliente e servidor, incluindo certificados raízes e intermediários, tenham pelo menos 112 bits e estejam assinados adequadamente, conforme definido neste procedimento. Verifique as chaves nos armazenamentos de chaves e os certificados confiáveis nos armazenamentos confiáveis.

Consulte Configurando a Conformidade com o NIST SP 800-131A no cliente e servidor de banco de dados DOORS..


ícone de vídeo Vídeo

Canal do Jazz.net
Canal Software Education

ícone de aprendizado Cursos

IoT Academy
Skills Gateway

ícone de pergunta Comunidade

Jazz.net
Fóruns do Jazz.net
Biblioteca do Jazz.net

ícone de suporte Suporte

Comunidade de Suporte IBM
Wiki de implementação