このトピックでは、BizTalk Server EDI および AS2 ソリューションのセキュリティに関する既知の問題について説明します。
BizTalk は、証明書が設定されていないパーティからの署名付きメッセージを中断しません
パーティに署名証明書を設定しない場合 (パーティーの [パーティーのプロパティ] ページの [証明書] ノードで)、そのパーティーからの受信メッセージは署名されます。BizTalk Server はメッセージを中断せず、証明書がない場合に例外をスローします。
受信メッセージのプロパティ ([Party as AS2 Message Sender] ページ) をオーバーライドし、[Message should be signed]\(メッセージは署名する必要がある\) プロパティをオフにすると、BizTalk Server は署名された受信メッセージを中断します。
プログラム ファイル フォルダーへのアクセスを制限して、ファイルの改ざんを防ぐことができます
認証されていないユーザーが BizTalk Server の実行可能ファイルと EDI スキーマを含む Program Files フォルダーを使用できる場合、それらのユーザーはそれらのファイルを変更できる可能性があります。 その脅威から保護するには、Program Files フォルダーのアクセス制御リスト (ACL) を使用して、信頼されたユーザーへのアクセスを制限できます。
長いフィールドを持つスキーマは、サービス拒否攻撃の影響を受けやすくなります
非常に長いフィールドを持つカスタム スキーマは、サービス拒否攻撃によって悪用される可能性があります。 BizTalk Server に付属するスキーマには長さの長いフィールドがないため、通常、このような攻撃の影響を受けにくいです。
制御番号がその最大長を超えると、メッセージ処理は中止されます
インターチェンジ、グループ、またはトランザクション セットの制御番号の最大長は制限されています。 これらの制御番号の 1 つの長さが最大長を超えた場合、単一パーティーに対するそのエンコード・タイプのすべてのメッセージの処理は中止されます。 別のエンコードの種類 (X12 ではなく EDIFACT) のメッセージは影響を受けません。 これはセキュリティの脆弱性を表している可能性があります。
シーケンス番号の長さが最大長を超えた場合、ユーザーは影響を受けるパーティの EDI プロパティのシーケンス番号をリセットする必要があります。 番号がリセットされた後、そのエンコードの種類のすべてのメッセージを再び処理できます。
X12 メッセージの場合、制御番号の最大長は 9 桁です。 EDIFACT メッセージの場合、制御番号の最大長は 3 つのフィールドに対して 14 桁です。
HTTP アダプターで EDI 受信パイプラインを使用すると、ACK が送信されない場合、接続は開いたままになります
EDIReceive パイプラインを使用し、トランスポートの種類が HTTP である受信場所を作成すると、セキュリティの問題が発生する可能性があります。 EdiReceive パイプラインでは、HTTP "200 OK" 受信確認は生成されません。 EDI 受信確認が返されない場合、接続は正常に終了されませんが、開いたままです。 タイムアウト期間が経過すると、接続はタイムアウトになります。
これは AS2EdiREceive パイプラインの問題ではありません。
Port-Based 認証が有効で、BizTalk Server が承認およびセキュリティ情報にアクセスできない場合、X12-Encoded メッセージが中断されます
症状:
認証が有効になっている受信ポートを介してメッセージを受信し、メッセージを送信したパーティを特定できない場合、BizTalk Server はメッセージを中断します。
考えられる原因
受信ポートで認証が有効になっている場合 (受信ポートの "認証なし" プロパティがクリアされている場合)、BizTalk Server ではインターチェンジを処理するために、"ISA1-2 (承認修飾子と情報)" プロパティと "ISA3-4 (セキュリティ修飾子と情報)" プロパティの設定が必要です。 これらのプロパティは、インターチェンジ送信者としてパーティーの [X12 インターチェンジ処理プロパティ] ページでパーティに対して設定されます。 BizTalk Server は、これらのプロパティの値を特定できない場合、メッセージを中断します。
これは、2 つの方法で発生する可能性があります。 最初のケースでは、メッセージを送信したパーティを BizTalk Server が特定できない場合、EDI グローバル プロパティが使用され、承認とセキュリティ設定にアクセスできなくなります。 その結果、メッセージが中断されます。 2 番目のケースでは、BizTalk Server がパーティを決定したが、パーティの ISA1-2 プロパティと ISA3-4 プロパティが構成されていない場合、BizTalk Server は再び承認情報とセキュリティ情報にアクセスできなく、メッセージを中断します。
解決策
メッセージの送信側を識別できること、および ISA1-2 プロパティと ISA3-4 プロパティがパーティ契約で定義されていることを確認します。