安全地更改 TLS 协议级别或密码

如果 TLS 协议受到损害,那么需要切换到更高的最低 TLS 级别。 如果密码受到损害,那么需要从所有 TLS 连接中除去该密码。 要安全地进行更改,您需要确定是否正在使用已泄密的协议或密码。 当你知道它在使用时,你需要确定是谁在使用它,以便与 CICS® 通信的客户端或服务器也能升级。 CICS 统计信息和监视可用于帮助您评估使用中的 TLS 协议级别和密码,并确定更改对您和用户的影响。

为何评估使用中的 TLS 协议级别或密码?

使用较旧或已泄密的 TLS 协议级别或密码存在风险。 使用更高的 TLS 协议级别或更高的密码可以降低此类风险。 由于安全警报或审计需求,还可能要求您切换到较新的 TLS 协议级别或密码。 要安全地实现此转换,您必须了解哪些协议或密码正在使用中以及由谁使用。 借助这些知识,您可以规划并迁移到更安全的选项,同时将风险降至最低。

采取这种行动涉及几个步骤:
  1. 通过收集相关统计数据,确定哪些 TLS 协议或密码处于活动状态。
  2. 评估旧协议或密码是否仍在使用中。
  3. 通过查看监视数据,确定需要从较旧的 TLS 协议级别升级的应用程序或不再使用的密码。
  4. 对应用程序进行寻址,并确保更新这些应用程序以使用新的更高级别的 TLS 协议。
  5. 完成所有先前步骤后,请更新配置以使用更高的 MINTLSLEVEL 或除去密码。
有关 TCP/IP 统计信息中 TLS 协议信息的更多信息,请参阅 TCP/IP 全局和 TCP/IP 服务统计信息

有关密码统计信息的更多信息,请参阅 密码统计信息

有关数据字段 SOTLSLVL 和 SOCIPHER 的更多信息,请参阅 组 DFHSOCK 中的性能数据

请考虑以下两种方案,一种用于 除去较低 TLS 级别 ,另一种用于 除去已泄密的密码

除去先前 TLS 级别的示例方案

安全警报或审计员建议您 TLS 1.1 不再足以满足您的业务需求,您必须除去此协议级别。 要进行此更改, CICS 区域与客户机或服务器之间的所有连接都必须在 TLS 1.2 或更高版本上运行。

连接使用双方都支持的最高级别。 因此,如果连接位于 TLS 1.1,那么需要升级或配置一端以支持 TLS 1.2。

您可以使用可用的 CICS 统计信息和监视来帮助您完成此练习。
  1. CICS 区域必须将其 MAXTLSLEVEL 设置为 TLS12 或更高。
  2. 所有连接定义 (TCPIPSERVICE , IPCONN 和 URIMAP) 都必须包含 TLS 1.2 或更高版本支持的密码。
    建议: 建议您使用密码文件而不是数字密码。
  3. 收集 TLS 协议的统计信息。 设置统计信息收集,以使用 CEMT PERFORM STATISTICS RECORD 来标识正在使用的 TLS 协议。 需要在具有入站或出站连接的所有区域上执行此数据收集。 在定义的收集时间段内,仅收集来自新握手的数据。 您必须确保收集周期足以捕获所需的数据。
  4. 检查收集的统计信息是否标识了 TLS 1.1 级别协议的任何握手。 请参阅 图 1 以获取有关统计信息输出如何显示所选时间段内的握手中涉及哪些 TLS 协议的示例。 如果找不到任何个案,那么可以继续执行步骤 8。
  5. 要进行更详细的分析,请使用监视信息来确定在所选监视时间段内使用了哪些 TLS 协议级别。 性能数据字段 SOTLSLVL 显示哪些应用程序使用了哪些 TLS 协议。 您还可以使用监视结果中的其他数据来识别 IP 地址和端口号,以帮助您识别与连接关联的客户机或服务器。
  6. 更新报告为使用 TLS 1.1的关联客户机或服务器。 请参阅 图 2 以查看 SOTLSLVL 信息。 其他 TLS 信息 (例如使用的密码, TCP/IP 地址和端口号) 也可用。
  7. 再次运行统计信息和监视步骤以确认没有剩余的应用程序使用要除去的 TLS 协议。
  8. 将 MINTLSLEVEL 更新为新的最低协议级别。

除去已泄密密码的示例方案

安全警报或审计员通知您,特定密码不再足以满足您的业务需求,您必须除去此密码。

密码取决于连接中两个合作伙伴的配置和功能。 客户机和服务器各自提供一个或多个密码的列表,这些密码用作 TLS 握手的一部分。 使用的密码是服务器列表中的第一个密码,也在客户机列表中。 因此,在除去密码之前,请务必使用其他密码。

您可以使用可用的 CICS 统计信息和监视来帮助您完成此练习。
  1. 将要除去的密码移至以下任一密码的末尾:
    • 密码文件中的列表。
    • 在连接定义 (TCPIPSERVE , IPCONN 和 URIMAP) 的 CIPHERS 选项中指定的数字密码。
    建议: 建议您使用密码文件而不是数字密码。
  2. 收集密码的统计信息。 设置统计信息收集以通过使用 CEMT PERFORM STATISTICS.RECORD。 需要在具有入站或出站连接的所有区域上执行此数据收集。 在定义的收集时间段内,仅收集来自新握手的数据。 您必须确保收集周期足以捕获所需的数据。
  3. 检查收集的统计信息是否标识了所选密码的任何相关数据。 请参阅 图 1 ,以获取有关统计信息输出如何显示在所选时间段内使用了哪些密码的示例。 如果找不到任何观测值,那么可以继续执行步骤 7。
  4. 要进行更详细的分析,请使用监视信息来确定在所选监视时间段内使用了哪些密码。 请参阅 图 2 以查看 SOCIPHER 信息。 您还可以使用监视结果中的其他数据来识别 IP 地址和端口号,以帮助您识别与连接关联的客户机或服务器。
  5. CICS 区域可接受更新关联的客户机或服务器以添加密码。 或者更新 CICS 密码文件以添加客户机或服务器可接受的密码。 此密码必须位于要除去的密码前面。
  6. 再次运行统计信息和监视步骤,以确认没有剩余的应用程序使用要除去的密码。
  7. 除去密码定义。

示例屏幕

图 1。 统计信息数据 (格式化输出)
___________________________________________________________________________________________________________________________________
TLS LEVEL
_________
  CICS Configured TLS Level and Handshake Type                   Inbound  Outbound
  ________________________________________________________________________________
  Full                                                                 1         0
  Abbreviated                                                          0         0

  TLS 1.1                                                              1         0
  TLS 1.2                                                              0         0
  TLS 1.3                                                              0         0
  ________________________________________________________________________________
  TOTAL                                                                1         0
  ________________________________________________________________________________
  AT-TLS SSL 3                                                         0         0
  AT-TLS 1.0                                                           0         0
  AT-TLS 1.1                                                           0         0
  AT-TLS 1.2                                                           1         1
  AT-TLS 1.3                                                           0         0
  ________________________________________________________________________________
  TOTAL                                                                1         1
CICS 7.4.0 Statistics Utility Program                                    Report Date 02/23/2022   Report Time 16:11:39   Page   106
Requested Statistics Report        Collection Date-Time 02/23/2022-16:10:49  Last Reset 16:10:34  Applid IYK4ZON1  Jobname D1
___________________________________________________________________________________________________________________________________
TLS CIPHER STATISTICS
_____________________
                                                                     TLS       TLS    AT-TLS    AT-TLS
  Number  Cipher Name                                            Inbound  Outbound   Inbound  Outbound
  ____________________________________________________________________________________________________
    009D  TLS_RSA_WITH_AES_256_GCM_SHA384                              0         0         1         1
    0035  TLS_RSA_WITH_AES_256_CBC_SHA                                 1         0         0         0
图 2。 监视数据 (格式化输出)
___________________________________________________________________________________________________________________________________
SDSF OUTPUT DISPLAY MONDSERV JOB68349  DSID   111 LINE  CHARS
COMMAND INPUT ===>
         DFHCICS  P362     OTRANNUM         0000045C                                          45
         DFHCICS  C363     OTRAN            C3E6E7D5                                      CWXN
         DFHCICS  C364     OUSERID          C7C2F1F2 F2F04040                             GB1220
            ...
         DFHCICS  C366     OTCPSVCE         E6C5C2E3 D3E24040                             WEBTLS
         DFHCICS  A367     OPORTNUM         0000271F                                       10015
         DFHCICS  C372     OCLIPADR         F94BF2F0 40404040 40404040 40404040 40404040  9.20.5.0
                                   +X0014   40404040 40404040 40404040 40404040 40404040
         DFHCICS  A369     OCLIPORT         0000FA66                                       641020
         DFHCICS  A370     OTRNFLAG         8000804009800000
         DFHCICS  C371     OFCTYNME         5C5CE2E3 C55C5C40                             **STE**
         DFHWEBB  C380     WBURIMNM         00000039 F14BF240                             DFH$URI4
            ...
         DFHWEBB  C385     WBPROGNM         00000039 F14BF240                             DFH$WBHC
            ...
         DFHCICS  P376     PHTRANNO         0000000C                                           0
            ...
         DFHSOCK  A458     SOFLAG           40000000
         DFHSOCK  C457     SOTLSLVL         E3D3E2E5 F14BF240                             TLSV1.2
         DFHSOCK  A320     SOCIPHER         00000039 F14BF240                                 57
         DFHTASK  C430     CECMCHTP         F3F9F0F6                                      3906