Key Visual - Manage Your Business Integration
 

Mai

15

Sicherer Dateitransfer mit IBM Sterling Connect:Direct

By Frederik Gierschner on Tu, May/15/2012 : 11:09

Es gibt viele Möglichkeiten Dateien zwischen unterschiedlichen Systemen zu übertragen. Allerdings sind nur wenige davon zuverlässig, performant und sicher. IBM Sterling Connect:Direct kann hier als gutes Beispiel genannt werden, welches die genannten Anforderungen erfüllt. Eine allgemeine Einführung in Connect:Direct finden Sie hier.

Basis-Absicherung in Connect:Direct

Neben der Basis-Absicherung, welche auf dem Userproxy, der Benutzer von entfernten Systemen auf lokale Benutzer mappt, der Benutzerverwaltung, mit der man die Rechte der einzelnen Nutzer feingranular festlegen kann, und der Netmap, in der alle Kommunikationspartner aufgelistet werden, basiert, gibt es noch eine Zusatzoption, die sich Secure+ nennt.



Secure+ ermöglicht die Authentifizierung der Kommunikationspartner mit Hilfe von Zertifikaten und die Verschlüsselung der übertragenen Daten mit Hilfe von SSL, TLS oder STS. In diesem Blogeintrag werde ich auf die Möglichkeiten der SSL- und TLS-basierten Absicherung eingehen.

Sicherheitstechnische Grundlagen

Bevor wir die konkrete Implementierung in Connect:Direct betrachten, müssen bestimmte Begrifflichkeiten geklärt werden.

Damit Dateien während des Austausches nicht von einem Dritten mitgelesen werden können, müssen diese verschlüsselt übertragen werden. Unter der Verschlüsselung versteht man ein Verfahren, mit dem lesbare Daten so verändert werden, dass sie nicht durch Dritte gelesen werden können. Nur von der verschlüsselnden Instanz berechtigte Systeme können die Daten entschlüsseln und wieder in eine lesbare Form bringen.

Für die Verschlüsselung von Daten gibt es zwei unterschiedliche Vorgehensweisen:

  • Symmetrische Verschlüsselung
  • Asymmetrische Verschlüsselung

Bei der symmetrischen Verschlüsselung wird ein und derselbe Schlüssel zur Ver- und Entschlüsselung genutzt, wohingegen es bei der asymmetrischen Verschlüsselung jeweils unterschiedliche Schlüssel gibt. Es gibt den sogenannte Public Key zum Ver- und den Private Key zum Entschlüsseln. Letzteres Verfahren hat den Vorteil, dass man den Public Key veröffentlichen kann, somit jeder Daten verschlüsseln, aber nur diejenige Person, die den Private Key besitzt, die Daten wieder entschlüsseln kann.



Mit Hilfe der Authentifizierung lässt sich nun noch sicherstellen, dass ein Kommunikationspartner der ist, für den er sich ausgibt. Ein Beispiel aus dem echten Leben ist das Überprüfen des Personalausweises.

In Connect:Direct Secure+ werden dafür digitale Zertifikate genutzt, in denen die Identität einer Node festgeschrieben wird. Diese Zertifikate werden entweder von einer Certification Authority (CA) ausgestellt oder es werden eigene self-signed Zertifikate erstellt. Vergleicht man das Vorgehen in Connect:Direct mit dem vorangegangenen Beispiel, wäre der Personalausweis das Zertifikat und die Personalausweisbehörde die Certification Authority.

Vorgehen in Connect:Direct Secure+

Das Secure+ Admin Tool wird dafür genutzt, die sogenannte Parameterdatei zu verändern, welche der zentralen Konfiguration von Secure+ dient. Neben der Netmap muss sich auch hier für jede Remotenode ein Eintrag befinden. Es werden die Verschlüsselungsalgorithmen und das Protokoll für die Übertragungen festgelegt, die von der jeweiligen Remotenode und der lokalen Node verwendet werden können. Des Weiteren wird hier der Pfad zum Trusted Root Zertifikat der CA hinterlegt, mit welchem überprüft wird, ob man dem Zertifikat, welches eine Remotenode sendet, vertrauen kann. Zusätzlich gibt es noch die Möglichkeit, weitere Informationen aus dem Zertifikat mit zu erwartenden Werten abzugleichen. Über die sogenannte Client Authentication Option kann man festlegen, ob auch die Authentifizierung des anderen Kommunikationspartners erfolgen soll.



Mit den Zertifikaten werden gleichzeitig auch die Public Keys verteilt. Erst nachdem die Authentifizierung erfolgreich durchgeführt und ein Verschlüsselungsalgorithmus gefunden wurde, den beide Nodes unterstützen, können die Daten verschlüsselt ausgetauscht werden.

Fazit

Connect:Direct bietet bereits mit den Grundeinstellungen eine sehr hohes Maß an Sicherheit. Dennoch besteht häufig die Anforderung, dass die übertragenen Daten nicht von anderen mitgelesen werden können und sich die Kommunikationspartner gegenseitig authentifizieren müssen, bevor überhaupt eine Session gestartet wird. Hier kommt Secure+ zum Einsatz, welches auf ausgereifte und weit verbreitete Technologien setzt. Mit seinen vielen Einstellungsmöglichkeiten kann Connect:Direct Secure+ sehr flexibel konfiguriert werden, um sichere Dateiübertragungen umzusetzen.


Margin
Blog-Autor
Frederik Gierschner
Frederik Gierschner
Software Engineer
+49 221 97343 121
Margin
Informationen
7.0.1  7.0.2  8.0  Absatzmarkt  Active MQ  Active  Administration  Agile Lösungen  Agility  AMS  Analyst  Analytics  Anbindung  Anforderungen  Anwenderkonfernz  Apache  Application Server  API Management  API  AS2  ASP  Automatisierung  b2b  B2B Integration  Basic  Big Data  Blogreihe  Bluemix  Blueworks  BPM  Broker  BRMS  Bus  Business Process Management  Business Rules  Buzzword  Camel  Cast Iron  Cloud API  Cloud Computing  Cloud Integration  Cloud  Commerce  Compliance  Conference  Connect:Direct  CPLEX  CXF  DataPower  Decision Server Insights  Deployer  Deployment  Development  DFDL  Digitalisierte Prozesse  Digitalisierung  Domino  DSI  e-Fachverfahren  ersteinrichtung  Edi  Edition  Einführung  Einsatz  Entscheidung  Entwicklung  ESB  Excel  Fahrplanoptimierung  Features  Federated Connectivity  File Transfer  Filetransfer  Finance  FTE  gentran  gis  Geschäftsprozesse  Go Live  Google  Governance  Hardware ESB  Hosting  Hybrid-Cloud  Hybrid Cloud  Hybrid  IBM Blueworks  IBM BPM  IBM Integration Bus  IBM InterConnect  IBM  ILOG DOC  ILOG LNP  ILOG Transportation Analyst  ILOG  Impact  Infrastruktur  Installation  Integration as a Service  Integration Bus  Integration  Integrator  Interoperabilität  IT-Business-Alignment  Konfiguration  Linear  LNP  Logistik  monitoring  M2M  Manage File Transfer  Management  Marktplatz  Mathematik  Mediation  Message Broker  Messages  Messagesight  Messaging  MFT  Migration  Modellierung  MQ  MQTT  Multicast  Muster  Nachlese  Neuerungen in V7.0.1  Neuerungen  off-premise  on-premise  ODM  ODME  Öffentliche Verwaltung  Open Source  Operational Decision Management  Optimierung  OPL  OSGi  Outsourcing  PaaS  Pattern Integration  Pattern  Patterns  Performance  Portfolio  Praxis  Private  Process Server  Produktionsplanung  Prozessautomatisierung  Prozessintegration  Prozessmodelierung  Prozessoptimierung  PureSystem  Qualität  Real Time  Regelmanagement  Rollen  Routenplanung  Routing  ROI  SaaS API  SaaS Integration  SaaS  Salesforce  Schwerpunktanalyse  Script  SCM  Security  Service Federation Management  Servicemix  SFM  SI  Slotting  SoapUI  SOA Cloud Symposium  SOA  SPSS  Standard  Standardplattform  Standardtool  Standortoptimierung  Sterling Integrator  Sterling  SugarCRM  Symposium  Template  TIP  TM1  TOSCA  Transportation  Transportoptimierung  Übersicht  Umstieg  Unix  Update  vergleich  Vorteile  worklight  workload  wtc  Wartung  Websphere  Websphere: Rollen  WebService Security  WebSphere Enterprise Service Bus  WebSphere ESB  WebSphere MessageBroker  WebSphere Technical Conference  WebSphere  WESB  Workloads  WODM  XAR