Configuración del cumplimiento para NIST SP 800-131A en Rational DOORS Web Access

Puede configurar IBM® Rational DOORS Web Access para comunicarse a través de sockets seguros, de acuerdo con el estándar 800-131A de publicaciones especiales (SP) del Instituto Nacional de Estándares y Tecnología (NIST). Este estándar especifica los algoritmos a utilizar para fortalecer la seguridad y la fortaleza de cifrado mínima necesaria para los algoritmos.

Antes de empezar

Configure Rational DOORS Web Access para cumplir con el Estándar federal de procesamiento de información (FIPS) 140-2.

Acerca de esta tarea

Para configurar Rational DOORS Web Access para que cumplan con SP 800-131A, modifique los valores de configuración del servidor Apache Tomcat para rechazar solicitudes con certificados que no cumplen la fortaleza de cifrado mínima requerida. Debe utilizar un proveedor de seguridad que cumpla con FIPS 140-2 y configurar sus propiedades del sistema para que se ejecute en modalidad SP 800-131A. Dicha configuración garantiza que esté utilizando el protocolo y los paquetes de cifrado adecuados.

Para una conformidad estricta, también se verifican los algoritmos de firma y nivel de clave. El cumplimiento estricto solo permite el protocolo TLS 1.2. Debe asegurarse de que los certificados, las claves, y el generador seguro de números aleatorios, si se especifica, cumplir con SP 800- 131A.

Importante: Si especifica el protocolo TLS 1.2, consulte la documentación para determinar si el navegador admite dicha versión .

Cuando Rational DOORS Web Access está habilitado para dar soporte a SP800- 131A en modalidad estricta, todos los servicios remotos también deben configurarse para dar soporte a SP 800- 131A modalidad estricta. Si un servicio remoto no da soporte a los requisitos mínimos para la modalidad estricta SP 800- 131A, que cualquier solicitud de ese servicio fallará.

La configuración de Rational DOORS Web Access para cumplir con NIST SP 800-131A implica estos pasos:
  • En el script de inicio de Apache Tomcat, establezca los parámetros del sistema que especifican el protocolo SSL y la modalidad SP 800-131A. Establezca un parámetro de paquete de cifrado para restringir las solicitudes salientes para servicios remotos.
  • Modifique la configuración de servidor Apache Tomcat para aceptar solo paquetes de cifrado y protocolos específicos.
  • Asegúrese de que las claves criptográficas se ajustan a un nivel de clave mínimo de 112 bits.
  • Asegúrese de que las firmas digitales sean un mínimo de SHA2 y 2048 bits.

Procedimiento

  1. Abra el archivo de script de inicio de Apache Tomcat en un editor y añada parámetros para el protocolo SSL, el nivel de cumplimiento SP 800-131A y los paquetes de cifrado. En la entrada com.ibm.jsse2.usefipsprovider que ha añadido para FIPS 140-2, añada las entradas de JAVA_OPTS para estos parámetros:
    Parámetro Valor
    https.protocols Se establece en TLSv1.2. El protocolo debe ser compatible con los protocolos que están habilitados en el servidor remoto.
    com.ibm.jsse2.sp800-131 Se establece en strict.
    https.cipherSuites Escriba un paquete de cifrado soportado. Este parámetro restringe los paquetes usados por las solicitudes salientes para servicios remotos. Estos paquetes de cifrado deben ser compatibles con los paquetes de cifrado establecidos para el servidor remoto.
    • En los sistemas Windows, el archivo de script server.start.bat está en el directorio de instalación de Rational DOORS Web Access; por ejemplo, C:\Archivos de programa\IBM\Rational\DOORS Web Access\versión.Este ejemplo incluye los valores necesarios para el protocolo SSL y los parámetros de nivel de cumplimiento, así como un ejemplo de los paquetes de cifrado soportados:
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • En los sistemas Linux, el archivo de script server.start.sh se encuentra en el directorio de instalación de Rational DOORS Web Access. Este ejemplo incluye los valores necesarios para el protocolo SSL y los parámetros de nivel de cumplimiento, así como un ejemplo de los paquetes de cifrado soportados:
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    Para una conformidad estricta, también se verifican los algoritmos de firma y nivel de clave. El cumplimiento estricto solo permite el protocolo TLS 1.2. Debe asegurarse de que los certificados, las claves y el generador seguro de números aleatorios, si están especificados, cumplen con SP 800-131A.

  2. Guarde y cierre el archivo.
  3. Abra el archivo server.xml de Apache Tomcat en un editor. Este archivo está en la instalación de Rational DOORS Web Access, en el directorio server/conf; por ejemplo, C:\Archivos de programa\IBM\Rational\DOORS Web Access\versión\server\conf
  4. En la sección del conector HTTPS, establezca los valores sslProtocol y sslEnabledProtocols en la versión de TLS mínima, que se basa en el valor determinado por el valor de propiedad del sistema com.ibm.jsse2.sp800-131; por ejemplo:
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    Para obtener más información sobre la sesión del conector HTTPS, consulte Configuración de Rational DOORS Web Access para usar SSL o TLS.
  5. Establezca los paquetes de cifrado para restringir más lo que el servidor acepta. El valor para esta entrada debe coincidir con el valor usado en el parámetro https.cipherSuites del script de inicio del servidor, tal como se describe en el paso 1; por ejemplo:
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    Asegúrese de que la capa de sockets seguros (SSL) esté configurada para utilizar solo un paquete de cifrado aprobado para SP 800-131A. Para obtener una lista de paquetes de cifrado, consulte "Paquetes de cifrado de IBM JSSE2" en Información relacionada.

Qué hacer a continuación

Actualice los navegadores de cliente a uno que dé soporte a la versión mínima de TLS. La versión mínima de TLS viene determinada por el valor especificado en la propiedad sslProtocol que se encuentra en el archivo server.xml.

Asegúrese de que los certificados de cliente y servidor, incluidos los certificados raíz e intermedios, sean al menos de 112 bits y se firmen de manera adecuada, como se define en este procedimiento. Compruebe las claves en los almacenes de claves y los certificados de confianza de los almacenes de confianza.

Consulte Configuración del cumplimiento para NIST SP 800-131A en el servidor y el cliente de la base de datos de Rational DOORS.


Comentarios