Port ID |
Port Description |
21 |
ftp-control |
23 |
telnet |
25 |
smtp |
80 |
www-http |
110 |
pop3 |
137 |
netbios-ns |
139 |
netbios-ssn |
389 |
ldap |
397 |
APPCoverTCPIP |
445 |
cifs |
449 |
as-svrmap |
1967 |
Bsafe/Global Security |
1983 |
Bsafe/Global Security |
2001 |
as-admin-http |
5110 |
as-pop3 |
5544 |
as-mgtctrlj |
5555 |
as-mgtctrl |
8470 |
as-central |
8471 |
as-database |
8472 |
as-dtaq |
8473 |
as-file |
8474 |
as-netprt |
8475 |
as-rmtcmd |
8476 |
as-signon |
8477 |
as-netdrive |
8478 |
as-transfer |
8479 |
as-vrtprint |
|
|
Assessment Security and Audit AS400
Ecco una proposta utile per fare un' autoassessment del proprio sistema
e riuscire a misurare il livello di sicurezza impostato sul proprio AS400,
oppure per dubbi o conferme , richiedere gratuitamente un chekup a TeamPROfessional.
che invierà (confidencial) i risultati dell' analisi, che sarà eseguita
su 6 stampe che Vi verranno richieste.
Premessa
Tutti i professionisti della sicurezza informatica sanno cosa cercare quando si deve o si vuole verificare l' impostazione e/o lo status della sicurezza in una macchina Windows, Le conoscenze diffuse e molti strumenti e risorse disponibili in rete aiutano
le aziende e i responsabili della sicurezzaa tenere e mantenere le protezioni
e le regole sempre aggiornate. Anche per il System i (la piattaforma midrange IBM precedentemente nota come l'AS/400. iSeries , i5 ) riconosciuto di fatto come il sistema operativo immune da virus informatici,
andrebbero verificati i livelli di sicurezza attivati, e se accettati ,
essere consapevoli delle possibili esposizioni e rischi potenziali. Molti
sistemi AS400 contengono i dati mission-critical aziendali, ed il mantenimento di una configurazione sicura dovrebbe essere una priorità assoluta.
Tuttavia, molti di questi sistemi sono configurati con livelli minimi e spesso non controllati e gestiti nel tempo per avere un aggiornamento ed un certificato di buona salute da IT manager o dal responsabile della sicurezza impostata.Il suggerimento che TeamProfessional vuole dare , è quello di controllare
il Vostro sistema AS400 con un Autoassessment rispondendo a 6 domande e
considerazioni che descrivono le potenziali esposiszioni , oppure richiedere
ai nostri esperti un' assessment gratuito dello status attuale del sistema,
inviandoci le stampe prodotte da 6 comandi .
Domanda N1 - Accesso alla rete -
Sul Vostro AS400 collegato in rete e che consente l'accesso TCP/IP da stazioni
PC e/o Mobile con client/access e/o emulazioni 5250 o via Browser, con
richieste ODBC, SQL, File tranfer ecc. ritenete di aver attivato su AS400
un livello di sicurezza adeguato?
(Prima di risponere leggere le considerazioni suggerite)
SI_____
NO_____
Considerazioni suggerite:
Forse la più grande area di rischio sui sistemi OS / 400 , oggi è l'accesso
non protetto che la maggior parte degli utenti finali hanno al sistema,
dai loro desktop, laptop e dispositivi mobili. Dal 1994 sul sistema AS400
è stato introdotto il protocollo TCP/IP che di fatto ha modificato la logica
di protezione definita con i MENU 5250 e con le capacità limitate (LMTCPB)
impostate sul profilo utente.
Tutte le applicazioni TCP, in ascolto sulle porte assaciate, ed attivate
da una richiesta Client, richiamano per prima cosa un EXIT PROGRAM che
se definito (vedi con il comando WRKREGINF) eseguono la politica e la regola
descritta nel programma di uscita, dove è possibile impostare "chi
fa che cosa" e/o da dove ed a quali condizioni.
Gli exit program sono i Firewall naturali del sistema AS400, non averli
definiti ed attivati significa essere esposti nella propria intranet o
internet a possibili rischi, perchè ogni utente con profilo e password
potrebbe in rete arrivare sui dati sensibili e privati.
La Tabella di seguito descrive i principali Exit Program che dovrebbero
essere considerati per mettere in sicurezza gli accessi in rete.
Accessi Remoti di Servizi TCP/IP che possono essere
Protetti dagli Exit Programs su AS400
|
Exit Point Server |
Descrizione |
*DDM |
Alternate ODBC server |
*DQSRV |
Client data queue server |
*FILESRV |
Remote file server—used when drives are mapped
to integrated file system |
*FTPCLIENT |
FTP client on the iSeries—used for requests
originating from the System i server |
*FTPSERVER |
FTP server on the iSeries |
*NDB |
ODBC and JDBC native database |
*RMTSRV |
Remote command server |
*RTVOBJINF |
ODBC and JDBC retrieve object info |
*SQL |
ODBC and JDBC sign-on (logon) |
*SQLSRV 1 |
ODBC and JDBC server |
*SQLSRV 2 |
ODBC and JDBC server |
*TELNET |
TCP/IP terminal emulation |
*DATAQSRV |
Remote data queue server |
*FTPREXEC |
Remote command through FTP |
*REXEC_SO |
Remote command sign-on (logon) |
*TFRFCL |
Client file transfer server |
Per valutare il rischio sul Vostro sistema potete controllare le porte attive utilizzando il
comando WRKTCPSTS OPTION(*CNN) e come riferimento la tabella che segue.
|
|
Domanda N2 - Sicurezza Librerie -
Sul Vostro sistema AS400 le librerie dati che contengono dati sensibili
e privati o comunque molto importanti per l' azienda, sono protette da
una adeguata sicurezza, con liste di autorizzazione che non consentono
l' uso improprio ad utenti comuni ?
SI_____
NO_____
Le informazioni memorizzate nel sistema costituiscono una delle più importanti
risorse dell'azienda. Quando si valutano i metodi di protezione delle informazioni,
è necessario prendere in considerazione tre importanti obiettivi:
Riservatezza: buone misure di sicurezza possono impedire che qualcuno consulti e venga
a conoscenza di informazioni riservate.
Integrità: per certi versi, un sistema di sicurezza ben progettato è in grado di
assicurare l'accuratezza delle informazioni sul computer. Con il giusto
tipo di sicurezza, è possibile
impedire modifiche o cancellazioni non autorizzate di dati
Disponibilità: se qualcuno danneggia accidentalmente o intenzionalmente dei dati presenti
nel sistema, non è possibile accedere a quelle risorse fino a che non vengono
recuperate.
Un buon sistema di sicurezza è in grado di impedire questo tipo di danni.
La maggior parte degli oggetti sul sistema risiede nelle librerie. Per accedere ad un oggetto, è necessario disporre dell’autorizzazione sia sull’oggetto stesso che sulla libreria nella quale risiede l’oggetto. Per la maggior parte delle operazioni, compresa la cancellazione di un oggetto, l’autorizzazione *USE sulla libreria dell’oggetto è sufficiente (oltre all’autorizzazione richiesta per l’oggetto). -Utilizzare la sicurezza delle librerie è una tecnica che consente di proteggere le informazioni conservando nel contempo uno schema della sicurezza semplice. Ad esempio, per proteggere le informazioni riservate per una serie di applicazioni, è possibile eseguire le operazioni elencate di seguito:
- Utilizzare una libreria per memorizzare tutti i file confidenziali per un particolare gruppo di applicazioni.
- Assicurarsi che l’autorizzazione pubblica sia sufficiente per tutti gli oggetti (nella libreria) che vengono utilizzati dalle applicazioni (*USE o *CHANGE).
- Limitare l’autorizzazione pubblica alla libreria stessa (*EXCLUDE).
- Fornire ai gruppi selezionati o agli individui l’autorizzazione alla
libreria (*USE o *ADD se le applicazioni la richiedono).
Sebbene la sicurezza delle librerie rappresenti un metodo semplice ma efficace
nella protezione delle informazioni, potrebbe rivelare inadeguata per i
dati con elevati requisiti di sicurezza. Gli oggetti
estremamente sensibili dovrebbero essere protetti individualmente o con
un elenco di autorizzazioni, piuttosto che basarsi sulla sicurezza delle
librerie. |
|
Domanda N3 - Sicurezza Integrate File System /* -
Sul Vostro sistema AS400 sono presenti alcune o diverse directory utente
oltre a quelle del sistema,
ritenete che l' impostazione della sicurezza su questi oggetti sia stato
realizzato correttamente?
SI_____
NO_____
IFS - l' Integrated File System su AS400
Le directory sono molto spesso contenitori di oggetti ignorati, dimenticati ed esclusi dalle politiche di sicurezza, e sono scartate come se: 'non si applica a me'. Crediamo che tutti gli amministratori di sistema invece dovrebbero conoscere le modalita con le quali gestire la proprietà e le autorizzazioni dei vari oggetti
all'interno del File System integrato (IFS).
Questo perché IBM e alcuni fornitori con nuove procedure ed applicazioni inseriscono sempre più dati in questi file system nella radice ('/').
Nella maggior parte dei casi, quando un oggetto viene creato in una directory, l'oggetto creato o inserito eredita le sue autorità dalla directory. Ciò significa che la maggior parte degli oggetti essendo creato nelle IFS hanno l'equivalente di * PUBLIC * ALL.
Questo significa che, per impostazione predefinita, chiunque può creare il proprio elenco o cancellare un oggetto o sottodirectory. Questo è quasi sempre di più dell'autorizzazione all' accesso che doveva essere richiesta o desiderata.
(R)ead = lettura, (W)rite = scrittura, e(X)ecute = esecuzione
L'autorizzazione * PUBLIC di radice o '/' sul vostro sistema è: - Dati di autorità * RWX - Autorità Oggetto * NONE
Raccomandazioni:
Impostare l'autorizzazione * PUBLIC per '/' (root) di dati autorità * RX e autorità oggetto * NONE. questo permetterà alle applicazioni di cercare attraverso ROOT ma non creare nulla in esso. Si può essere in grado di impostare root per dati di autorità * X, ma poi il pubblico in generale non sarebbe in grado di elencare una delle sottodirectory direttamente sotto radice. Questo può essere un problema per alcuni ambienti.
Impostare l'autorizzazione * PUBLIC di directory applicative per non più di Dati autorità * RX e Autorità Oggetto * NONE. Spesso è possibile impostare dati autorità di solo * X, a meno che l'applicazione deve produrre un elenco di oggetti all'interno della directory. Directory forniti da IBM dovrebbero essere ok il modo in cui vengono spediti. Ma come sicuro-guardia, si può controllare per assicurarsi che siano impostati i dati all'autorità X * o * autorità RX e oggetto * NONE.
|
|
Domanda N4 - Sicurezza Profili Utente -
Sul Vostro sistema AS400 tutti i profili utente sono stati impostati con la classe e le autorizzazioni speciali,
previste dal ruolo dell' utente ed associati all' uso dei dati nel sistema
informativo aziendale?
ogni utente è associato al profilo di gruppo per ereditare in modo veloce
e diretto le autorizzazioni private agli oggetti?
SI_____
NO_____
Autorizzazione
Speciale |
Descrizione |
Numero di utenti
in
possesso di questa autorizzazione |
*ALLOBJ |
All object
authority |
|
*AUDIT |
Audit
authority |
|
*IOSYSCFG |
Input/Output
system configuration |
|
*JOBCTL |
Job control
authority |
|
*SAVSYS |
Save system
authority |
|
*SECADM |
Security
administrator authority |
|
*SERVICE |
Service
authority |
|
*SPLCTL |
Spool control
authority |
|
*USRCLS |
Special
authorities granted based on User Class |
|
|
Numero degli
utenti presenti sul sistema |
|
|
|
Domanda N5 - Valori di Sistema
Sul Vostro sistema la sicurezza impostata nel SYSVAL QSECURITY è superiore al livello 30?
Sul Vostro sistema sono stati controllati tutti i possibili rischi di accesso
ai dati e controllati da corrette ipostazioni sui valori di sistema?
SI_____
NO_____
La sicurezza nel sistema AS400 è organizzata in una serie di livelli o
classi, (Vedere il livello scelto nel proprio sistema con il comando DSPSYSVAL
per il valore QSECURITY) ognuno dei quali offre un grado di riservatezza
e di protezione dei dati maggiore del precedente. Selezionare il livello
che meglio si accorda alle esigenze della propria società.
Il valore di sistema QSECURITY consente di controllare il livello di sicurezza desiderato nel sistema. Per comprendere il funzionamento dei livelli di sicurezza, si pensi al sistema come ad un edificio, in cui si tenti di entrare.
- Livello 20: sicurezza parola d'ordine
- Se si seleziona il livello 20, si dispone di un certo grado di
protezione. Il vigilante alla porta dell'edificio chiede l'ID e la
parola d'ordine segreta.
Solo chi possiede entrambe le informazioni viene ammesso all'edificio.
Una volta entrati, tuttavia, è possibile muoversi liberamente.
Se qualcuno riesce a sentire la parola d'ordine segreta e la utilizza per accedere all'edificio, si resta senza protezione.
- Livello 30: parola d'ordine e sicurezza delle risorse
- Il livello 30 ha le stesse caratteristiche del livello 20, ma
consente anche di
controllare chi accede ad alcune parti dell'edificio e che cosa fa una
volta entrato. E' possibile fornire accesso ad alcune parti
dell'edificio, mentre lo si limita ad altre mettendo dei sorveglianti
alle porte.
E' possibile consentire a chi ha accesso ai settori riservati di
muoversi liberamente o è possibile esigere che si richiedano
informazioni agli impiegati autorizzati alle informazioni (programmi).
Un intruso che entri utilizzando la parola d'ordine di un altro utente
potrebbe superare la sorveglianza all'interno per raggiungere i settori
protetti.
- Livello 40: protezione di integrità
- Il livello 40 fornisce la stessa protezione del livello 30, inoltre
il sistema verifica l'accesso dell'utente. La vigilanza alle porte
all'interno dell'edificio controlla le parole d'ordine e le
registrazioni di tutti gli utenti che entrano.
- Livello 50: protezione di integrità avanzata
- Al livello 50, la vigilanza applica una serie di regole ancora più rigorose per evitare
che chi dispone di adeguate conoscenze riesca ad eludere la sorveglianza, convalidando
l'identità di chiunque abbia effettuato la registrazione.
Suggerimenti
iSeries viene inviato con un livello di sicurezza di 40. Il livello
di sicurezza 40 costituisce la migliore opzione per la maggior parte
delle installazioni, sia nel caso di una normativa di sicurezza
rigorosa, media o non rigorosa. Se si sceglie un approccio non rigoroso,
è possibile configurare l'accesso pubblico alla maggior parte delle
risorse presenti nel sistema. Utilizzando il livello di sicurezza 40 fin
dall'inizio, si dispone della flessibilità necessaria per rendere il
sistema più sicuro nel futuro senza dover apportare molte modifiche.
Se i programmi dell'applicazione vengono acquistati, controllare
presso il fornitore
dell'applicazione che i programmi siano stati verificati con il livello
40. Alcune applicazioni utilizzano delle
operazioni che generano errori al livello di sicurezza 40. Se le
applicazioni non sono state verificate al livello 40 o 50, partire dal
livello 30. Utilizzare la funzione di giornale di controllo per
verificare che le applicazioni registrino degli errori di
autorizzazione. Se ciò non si verifica, è possibile passare al livello
40 o 50.
Il livello di sicurezza 50 evita che si verifichino eventi che normalmente
non ricorrono nella maggior parte dei sistemi. Il sistema effettua ulteriori
verifiche ogni qualvolta vengono eseguiti programmi sul sistema. Tali ulteriori
verifiche potrebbero sortire un effetto negativo sulle prestazioni
Valori di sistema
relativi alla sicurezza da considerare. |
Valore di sistema |
Scelta consigliata |
Descrizione |
(QINACTITV) |
da 30 a 60 |
Intervallo supero tempo lavoro
inattivo |
(QINACTMSGQ) |
*DSCJOB |
Determina l'operazione intrapresa dal sistema
quando un lavoro è rimasto inattivo per il periodo di tempo specificato dal
valore di sistema QINACTITV. |
(QLMTDEVSSN) |
1 (Sì) |
Determina la possibilità di un utente di
collegarsi a più di una stazione di lavoro con lo stesso profilo
utente. |
QLMTSECOFR |
1(Si) |
Restringe il campo d'azione del responsabile della
riservatezza, che detiene l'autorizzazione su tutti gli oggetti presenti nel
sistema per le specifiche unità. |
(QMAXSGNACN) |
3 (Disabilitare
entrambi) |
Specifica l'operazione intrapresa dal sistema se
si raggiunge il numero massimo di tentativi di collegamento
consecutivi. |
(QMAXSIGN) |
da 3 a 5 |
Numero massimo di tentativi di collegamento
consentito |
(QPWDEXPITV) |
da 30 a 60 |
Intervallo scadenza parola
d'ordine |
(QPWDMAXLEN) |
8 |
Lunghezza massima della parola
d'ordine |
(QPWDMINLEN) |
6 |
Lunghezza minima della parola
d'ordine |
(QPWDRQDDIF) |
7 (6 parole d'ordine
univoche) |
Richiedere parole d'ordine
differenti |
(QDSCJOBITV) |
300 |
Intervallo supero tempo lavoro
scollegato |
Nota:
è possibile che si desideri
impostare altri valori di sistema correlati alla sicurezza. Consultare il
Capitolo 3 del manuale Riferimenti alla sicurezza
(SC13-3195) per un elenco completo dei valori di sistema e i consigli relativi
alla sicurezza.
|
.
|
|
Domanda N6 - Registrazione e Controllo
Sul Vostro sistema oltre alle politiche di prevenzione sono stati attivati
tutti gli strumenti di registrazione e controllo per consentire una operazione
di Audit se necessaria? Sul Vostro sistema sareste in grado di trovare
l' autore di una cancellazione di un file anche accidentale?.
SI_____
NO_____
Valori
possibili nel valore di sistema QAUDLVL |
Description |
Setting |
Risk
Assessment |
*AUDLVL |
System
auditing |
On |
System auditing
events logged and may be audited |
*OBJAUD |
Object
auditing |
On |
Object auditing
activity defined logged and may be audited |
*AUTFAIL |
Authorized
failure |
On |
All access
failure,Incorrect Password or User ID logged and may be audited |
*PGMFAIL |
System integrity
violation |
On |
Blocked
instructions,Validation failure,Domain violation logged and may be
audited |
*JOBDTA |
Job
tasks |
On |
Job start and stop
data(disconnect,prestart) logged and may be audited |
*NETCMN |
Communication
& Networking tasks |
On |
Action that occur
for APPN filtering support logged and may be audited |
*SAVRST |
Object
restore |
On |
Restore(PGM,JOBD,Authority,CMD,System State) logged and may be
audited |
*SECURITY |
Security
tasks |
On |
All security
related functions(CRT/CHG/DLT/RST) logged and may be audited |
*SERVICE |
Services
HW/SW |
On |
Actions for
performing HW or SW services logged and may be audited |
*SYSMGT |
System
management |
Off |
Registration,Network,DRDA,SysReplay,Operational not logged and
cannot be audited |
*CREATE |
Object
creation |
On |
Newly created
objects, Replace exisitng objects logged and may be audited |
*DELETE |
Object
deletion |
On |
All deletion of
external objects logged and may be audited |
*OFCSRV |
Office
tasks |
On |
Office
tasks(system distribution directory,Mail) logged and may be
audited |
*OPTICAL |
Optical
tasks |
On |
Optical
tasks(add/remove optical cartridge,Autho) logged and may be
audited |
*PGMADP |
Program authority
adoption |
On |
Program adopted
authority, gain access to an object logged and may be audited |
*OBJMGT |
Object
management |
On |
Object management
logged and may be audited |
*SPLFDTA |
Spool
management |
On |
Spool management
logged and may be audited |
Consigli generali per la struttura della
sicurezza
Se la struttura della
sicurezza
è semplice risulterà più facile gestirla e controllarla. Inoltre, in
questo modo miglioreranno le prestazioni dell'applicazione e delle
procedure per la copia di riserva.
Segue un elenco di consigli generali per la struttura della sicurezza:
- Utilizzare la sicurezza delle risorse insieme ai metodi disponibili, quali le capacità limitate
nel profilo utente e la limitazione degli utenti a una serie di menu,
per proteggere le informazioni.
Attenzione: se
si utilizza un prodotto come System
i Access
o se si dispone di linee di comunicazione collegate al sistema, non fare affidamento
solo sulla limitazione delle possibilità nel profilo utente e nel controllo accesso menu. È
necessario utilizzare la sicurezza delle risorse per proteggere gli oggetti
che non si desidera siano accessibili attraverso queste interfacce.
- Proteggere solo quegli oggetti che necessitano realmente di protezione. Analizzare
una libreria per determinare quali oggetti, ad esempio file di dati, siano riservati e proteggano
quegli oggetti. Utilizzare un'autorizzazione pubblica per altri oggetti, quali le aree dati e
le code messaggi.
- Passare dal generale al particolare:
- Pianificare la sicurezza per le librerie e gli indirizzari. Occuparsi dei singoli oggetti solo quando necessario.
- Pianificare prima di tutto l'autorizzazione pubblica, seguita dall'autorizzazione di
gruppo e dalla singola autorizzazione.
- Rendere l'autorizzazione pubblica
per i nuovi oggetti in una libreria (parametro CRTAUT) uguale all'autorizzazione pubblica definita per la maggior
parte degli oggetti esistenti nella libreria.
- Per rendere l'operazione di controllo più facile e migliorare le prestazioni per il controllo dell'autorizzazione,
non definire un'autorizzazione privata inferiore a un'autorizzazione pubblica per un oggetto.
- Utilizzare gli elenchi di autorizzazioni per raggruppare gli oggetti con gli stessi requisiti di sicurezza.
Gli elenchi di autorizzazioni
sono più facili da gestire rispetto alle singole autorizzazioni e forniscono assistenza nel ripristino
delle informazioni relative alla sicurezza.
|
|