AUDIT400
Accesso alla rete
Sicurezza Librerie
Sicurezza Integrate File System /*
Sicurezza Profili Utente
Valori di Sistema
Registrazione e Controllo




Port ID Port Description
21 ftp-control
23 telnet
25 smtp
80 www-http
110 pop3
137 netbios-ns
139 netbios-ssn
389 ldap
397 APPCoverTCPIP
445 cifs
449 as-svrmap
1967 Bsafe/Global Security
1983 Bsafe/Global Security
2001 as-admin-http
5110 as-pop3
5544 as-mgtctrlj
5555 as-mgtctrl
8470 as-central
8471 as-database
8472 as-dtaq
8473 as-file
8474 as-netprt
8475 as-rmtcmd
8476 as-signon
8477 as-netdrive
8478 as-transfer
8479 as-vrtprint
Assessment Security and Audit AS400
Ecco una proposta utile per fare un' autoassessment del proprio sistema e riuscire a misurare il livello di sicurezza impostato sul proprio AS400, oppure per dubbi o conferme , richiedere gratuitamente un chekup a TeamPROfessional. che invierà (confidencial) i risultati dell' analisi, che sarà eseguita su 6 stampe che Vi verranno richieste.

Premessa

Tutti i professionisti della sicurezza informatica sanno cosa cercare quando si deve o si vuole verificare l' impostazione e/o lo status della sicurezza in una macchina Windows, Le conoscenze diffuse e molti strumenti e risorse disponibili in rete aiutano le aziende e i responsabili della sicurezzaa tenere e mantenere le protezioni e le regole sempre aggiornate. Anche per il System i (la piattaforma midrange IBM precedentemente nota come l'AS/400. iSeries , i5 ) riconosciuto di fatto come il sistema operativo immune da virus informatici, andrebbero verificati i livelli di sicurezza attivati, e se accettati , essere consapevoli delle possibili esposizioni e rischi potenziali. Molti sistemi AS400 contengono i dati mission-critical aziendali, ed il mantenimento di una configurazione sicura dovrebbe essere una priorità assoluta.
Tuttavia, molti di questi sistemi sono configurati con livelli minimi e spesso non controllati e gestiti nel tempo per avere un aggiornamento ed un certificato di buona salute da IT manager o dal responsabile della sicurezza impostata.Il suggerimento che TeamProfessional vuole dare , è quello di controllare il Vostro sistema AS400 con un Autoassessment rispondendo a 6 domande e considerazioni che descrivono le potenziali esposiszioni , oppure richiedere ai nostri esperti un' assessment gratuito dello status attuale del sistema, inviandoci le stampe prodotte da 6 comandi .


Analisi Sicurezza AS400
Aree che devono essere indagate

Numero
Domanda
Risposta

Sicurezza
adeguata
Si _?__
No_?__
N1 Accesso alla rete
N2 Sicurezza Librerie
N3 Sicurezza Integrate File System /*
N4 Sicurezza Profili Utente
N5 Valori di Sistema
N6 Registrazione e Controllo
Totale risposte SI - NO SI_____
NO_____

Domanda N1 - Accesso alla rete -
Sul Vostro AS400 collegato in rete e che consente l'accesso TCP/IP da stazioni PC e/o Mobile con client/access e/o emulazioni 5250 o via Browser, con richieste ODBC, SQL, File tranfer ecc. ritenete di aver attivato su AS400 un livello di sicurezza adeguato?
(Prima di risponere leggere le considerazioni suggerite)
SI_____
NO_
____



Considerazioni suggerite:
Forse la più grande area di rischio sui sistemi OS / 400 , oggi è l'accesso non protetto che la maggior parte degli utenti finali hanno al sistema, dai loro desktop, laptop e dispositivi mobili. Dal 1994 sul sistema AS400 è stato introdotto il protocollo TCP/IP che di fatto ha modificato la logica di protezione definita con i MENU 5250 e con le capacità limitate (LMTCPB) impostate sul profilo utente.
Tutte le applicazioni TCP, in ascolto sulle porte assaciate, ed attivate da una richiesta Client, richiamano per prima cosa un EXIT PROGRAM che se definito (vedi con il comando WRKREGINF) eseguono la politica e la regola descritta nel programma di uscita, dove è possibile impostare "chi fa che cosa" e/o da dove ed a quali condizioni.
Gli exit program sono i Firewall naturali del sistema AS400, non averli definiti ed attivati significa essere esposti nella propria intranet o internet a possibili rischi, perchè ogni utente con profilo e password potrebbe in rete arrivare sui dati sensibili e privati.

La Tabella di seguito descrive i principali Exit Program che dovrebbero essere considerati per mettere in sicurezza gli accessi in rete.

Accessi Remoti di Servizi TCP/IP che possono essere
Protetti dagli Exit Programs su AS400
Exit Point Server Descrizione
*DDM Alternate ODBC server
*DQSRV Client data queue server
*FILESRV Remote file server—used when drives are mapped
to integrated file system
*FTPCLIENT FTP client on the iSeries—used for requests
originating from the System i server
*FTPSERVER FTP server on the iSeries
*NDB ODBC and JDBC native database
*RMTSRV Remote command server
*RTVOBJINF ODBC and JDBC retrieve object info
*SQL ODBC and JDBC sign-on (logon)
*SQLSRV 1 ODBC and JDBC server
*SQLSRV 2 ODBC and JDBC server
*TELNET TCP/IP terminal emulation
*DATAQSRV Remote data queue server
*FTPREXEC Remote command through FTP
*REXEC_SO Remote command sign-on (logon)
*TFRFCL Client file transfer server

Per valutare il rischio sul Vostro sistema potete controllare le porte attive utilizzando il
comando WRKTCPSTS OPTION(*CNN) e come riferimento la tabella che segue.




Domanda N2 - Sicurezza Librerie -
Sul Vostro sistema AS400 le librerie dati che contengono dati sensibili e privati o comunque molto importanti per l' azienda, sono protette da una adeguata sicurezza, con liste di autorizzazione che non consentono l' uso improprio ad utenti comuni ?
SI_____
NO_
____


Le informazioni memorizzate nel sistema costituiscono una delle più importanti risorse dell'azienda. Quando si valutano i metodi di protezione delle informazioni, è necessario prendere in considerazione tre importanti obiettivi:

Riservatezza: buone misure di sicurezza possono impedire che qualcuno consulti e venga a conoscenza di informazioni riservate.
Integrità: per certi versi, un sistema di sicurezza ben progettato è in grado di assicurare l'accuratezza delle informazioni sul computer. Con il giusto tipo di sicurezza, è possibile
impedire modifiche o cancellazioni non autorizzate di dati

Disponibilità
:
se qualcuno danneggia accidentalmente o intenzionalmente dei dati presenti nel sistema, non è possibile accedere a quelle risorse fino a che non vengono recuperate.

Un buon sistema di sicurezza è in grado di impedire questo tipo di danni.


La maggior parte degli oggetti sul sistema risiede nelle librerie. Per accedere ad un oggetto, è necessario disporre dell’autorizzazione sia sull’oggetto stesso che sulla libreria nella quale risiede l’oggetto. Per la maggior parte delle operazioni, compresa la cancellazione di un oggetto, l’autorizzazione *USE sulla libreria dell’oggetto è sufficiente (oltre all’autorizzazione richiesta per l’oggetto). -Utilizzare la sicurezza delle librerie è una tecnica che consente di proteggere le informazioni conservando nel contempo uno schema della sicurezza semplice. Ad esempio, per proteggere le informazioni riservate per una serie di applicazioni, è possibile eseguire le operazioni elencate di seguito:

- Utilizzare una libreria per memorizzare tutti i file confidenziali per un particolare gruppo di applicazioni.
- Assicurarsi che l’autorizzazione pubblica sia sufficiente per tutti gli oggetti (nella libreria) che vengono utilizzati dalle applicazioni (*USE o *CHANGE).
- Limitare l’autorizzazione pubblica alla libreria stessa (*EXCLUDE).
- Fornire ai gruppi selezionati o agli individui l’autorizzazione alla libreria (*USE o *ADD se le applicazioni la richiedono).

Sebbene la sicurezza delle librerie rappresenti un metodo semplice ma efficace nella protezione delle informazioni, potrebbe rivelare inadeguata per i dati con elevati requisiti di sicurezza. Gli oggetti
estremamente sensibili dovrebbero essere protetti individualmente o con un elenco di autorizzazioni, piuttosto che basarsi sulla sicurezza delle librerie.

Domanda N3 - Sicurezza Integrate File System /* -
Sul Vostro sistema AS400 sono presenti alcune o diverse directory utente oltre a quelle del sistema,
ritenete che l' impostazione della sicurezza su questi oggetti sia stato realizzato correttamente?

SI_____
NO_
____



IFS - l' Integrated File System su AS400

Le directory sono molto spesso contenitori di oggetti ignorati, dimenticati ed esclusi dalle politiche di sicurezza, e sono scartate come se: 'non si applica a me'. Crediamo che tutti gli amministratori di sistema invece dovrebbero conoscere le modalita con le quali gestire la proprietà e le autorizzazioni dei vari oggetti all'interno del File System integrato (IFS).
Questo perché IBM e alcuni fornitori con nuove procedure ed applicazioni inseriscono sempre più dati in questi file system nella radice ('/').


Nella maggior parte
dei casi, quando un oggetto viene creato in una directory, l'oggetto creato o inserito eredita le sue autorità dalla directory. Ciò significa che la maggior parte degli oggetti essendo creato nelle IFS hanno l'equivalente di * PUBLIC * ALL.
Questo significa che, per impostazione predefinita, chiunque può creare il proprio elenco o cancellare un oggetto o sottodirectory. Questo è quasi sempre di più dell'autorizzazione all' accesso che doveva essere richiesta o desiderata.


(R)ead = lettura, (W)rite = scrittura, e(X)ecute = esecuzione
L'autorizzazione * PUBLIC di radice o '/' sul vostro sistema è: - Dati di autorità * RWX - Autorità Oggetto * NONE


Raccomandazioni:

Impostare l'autorizzazione * PUBLIC per '/' (root) di dati autorità * RX e autorità oggetto * NONE. questo permetterà alle applicazioni di cercare attraverso ROOT ma non creare nulla in esso. Si può essere in grado di impostare root per dati di autorità * X, ma poi il pubblico in generale non sarebbe in grado di elencare una delle sottodirectory direttamente sotto radice. Questo può essere un problema per alcuni ambienti.

Impostare l'autorizzazione * PUBLIC di directory applicative per non più di Dati autorità * RX e Autorità Oggetto * NONE. Spesso è possibile impostare dati autorità di solo * X, a meno che l'applicazione deve produrre un elenco di oggetti all'interno della directory. Directory forniti da IBM dovrebbero essere ok il modo in cui vengono spediti. Ma come sicuro-guardia, si può controllare per assicurarsi che siano impostati i dati all'autorità X * o * autorità RX e oggetto * NONE.


Domanda N4 -
Sicurezza Profili Utente
-
Sul Vostro sistema AS400 tutti i profili utente sono stati impostati con la classe e le autorizzazioni speciali,
previste dal ruolo dell' utente ed associati all' uso dei dati nel sistema informativo aziendale?
ogni utente è associato al profilo di gruppo per ereditare in modo veloce e diretto le autorizzazioni private agli oggetti?


SI_____
NO_____




Autorizzazione
Speciale
Descrizione Numero di utenti
in possesso di questa autorizzazione
*ALLOBJ All object authority
*AUDIT Audit authority
*IOSYSCFG Input/Output system configuration
*JOBCTL Job control authority
*SAVSYS Save system authority
*SECADM Security administrator authority
*SERVICE Service authority
*SPLCTL Spool control authority
*USRCLS Special authorities granted based on User Class
  Numero degli utenti presenti sul sistema


Domanda N5 -
Valori di Sistema
Sul Vostro sistema la sicurezza impostata nel SYSVAL QSECURITY è superiore al livello 30?
Sul Vostro sistema sono stati controllati tutti i possibili rischi di accesso ai dati e controllati da corrette ipostazioni sui valori di sistema?


SI_____
NO_
____


La sicurezza nel sistema AS400 è organizzata in una serie di livelli o classi, (Vedere il livello scelto nel proprio sistema con il comando DSPSYSVAL per il valore QSECURITY) ognuno dei quali offre un grado di riservatezza e di protezione dei dati maggiore del precedente. Selezionare il livello che meglio si accorda alle esigenze della propria società.

Il valore di sistema QSECURITY consente di controllare il livello di sicurezza desiderato nel sistema. Per comprendere il funzionamento dei livelli di sicurezza, si pensi al sistema come ad un edificio, in cui si tenti di entrare.

Livello 20: sicurezza parola d'ordine
Se si seleziona il livello 20, si dispone di un certo grado di protezione. Il vigilante alla porta dell'edificio chiede l'ID e la parola d'ordine segreta. Solo chi possiede entrambe le informazioni viene ammesso all'edificio. Una volta entrati, tuttavia, è possibile muoversi liberamente.

Se qualcuno riesce a sentire la parola d'ordine segreta e la utilizza per accedere all'edificio, si resta senza protezione.

Livello 30: parola d'ordine e sicurezza delle risorse
Il livello 30 ha le stesse caratteristiche del livello 20, ma consente anche di controllare chi accede ad alcune parti dell'edificio e che cosa fa una volta entrato. E' possibile fornire accesso ad alcune parti dell'edificio, mentre lo si limita ad altre mettendo dei sorveglianti alle porte.

E' possibile consentire a chi ha accesso ai settori riservati di muoversi liberamente o è possibile esigere che si richiedano informazioni agli impiegati autorizzati alle informazioni (programmi). Un intruso che entri utilizzando la parola d'ordine di un altro utente potrebbe superare la sorveglianza all'interno per raggiungere i settori protetti.

Livello 40: protezione di integrità
Il livello 40 fornisce la stessa protezione del livello 30, inoltre il sistema verifica l'accesso dell'utente. La vigilanza alle porte all'interno dell'edificio controlla le parole d'ordine e le registrazioni di tutti gli utenti che entrano.
Livello 50: protezione di integrità avanzata
Al livello 50, la vigilanza applica una serie di regole ancora più rigorose per evitare che chi dispone di adeguate conoscenze riesca ad eludere la sorveglianza, convalidando l'identità di chiunque abbia effettuato la registrazione.

Suggerimenti

iSeries viene inviato con un livello di sicurezza di 40. Il livello di sicurezza 40 costituisce la migliore opzione per la maggior parte delle installazioni, sia nel caso di una normativa di sicurezza rigorosa, media o non rigorosa. Se si sceglie un approccio non rigoroso, è possibile configurare l'accesso pubblico alla maggior parte delle risorse presenti nel sistema. Utilizzando il livello di sicurezza 40 fin dall'inizio, si dispone della flessibilità necessaria per rendere il sistema più sicuro nel futuro senza dover apportare molte modifiche.

Se i programmi dell'applicazione vengono acquistati, controllare presso il fornitore dell'applicazione che i programmi siano stati verificati con il livello 40. Alcune applicazioni utilizzano delle operazioni che generano errori al livello di sicurezza 40. Se le applicazioni non sono state verificate al livello 40 o 50, partire dal livello 30. Utilizzare la funzione di giornale di controllo per verificare che le applicazioni registrino degli errori di autorizzazione. Se ciò non si verifica, è possibile passare al livello 40 o 50.

Il livello di sicurezza 50 evita che si verifichino eventi che normalmente non ricorrono nella maggior parte dei sistemi. Il sistema effettua ulteriori verifiche ogni qualvolta vengono eseguiti programmi sul sistema. Tali ulteriori verifiche potrebbero sortire un effetto negativo sulle prestazioni



Valori di sistema relativi alla sicurezza da considerare.
Valore di sistema Scelta consigliata Descrizione
(QINACTITV) da 30 a 60 Intervallo supero tempo lavoro inattivo
(QINACTMSGQ) *DSCJOB Determina l'operazione intrapresa dal sistema quando un lavoro è rimasto inattivo per il periodo di tempo specificato dal valore di sistema QINACTITV.
(QLMTDEVSSN) 1 (Sì) Determina la possibilità di un utente di collegarsi a più di una stazione di lavoro con lo stesso profilo utente.
QLMTSECOFR 1(Si) Restringe il campo d'azione del responsabile della riservatezza, che detiene l'autorizzazione su tutti gli oggetti presenti nel sistema per le specifiche unità.
(QMAXSGNACN) 3 (Disabilitare entrambi) Specifica l'operazione intrapresa dal sistema se si raggiunge il numero massimo di tentativi di collegamento consecutivi.
(QMAXSIGN) da 3 a 5 Numero massimo di tentativi di collegamento consentito
(QPWDEXPITV) da 30 a 60 Intervallo scadenza parola d'ordine
(QPWDMAXLEN) 8 Lunghezza massima della parola d'ordine
(QPWDMINLEN) 6 Lunghezza minima della parola d'ordine
(QPWDRQDDIF) 7 (6 parole d'ordine univoche) Richiedere parole d'ordine differenti
(QDSCJOBITV) 300 Intervallo supero tempo lavoro scollegato
Nota:
è possibile che si desideri impostare altri valori di sistema correlati alla sicurezza. Consultare il Capitolo 3 del manuale Riferimenti alla sicurezza (SC13-3195) per un elenco completo dei valori di sistema e i consigli relativi alla sicurezza.




.


Domanda N6 - Registrazione e Controllo
Sul Vostro sistema oltre alle politiche di prevenzione sono stati attivati tutti gli strumenti di registrazione e controllo per consentire una operazione di Audit se necessaria? Sul Vostro sistema sareste in grado di trovare l' autore di una cancellazione di un file anche accidentale?.

SI_____
NO_
____




Valori possibili nel
valore di sistema QAUDLVL
Description Setting Risk Assessment
*AUDLVL System auditing On System auditing events logged and may be audited
*OBJAUD Object auditing On Object auditing activity defined logged and may be audited
*AUTFAIL Authorized failure On All access failure,Incorrect Password or User ID logged and may be audited
*PGMFAIL System integrity violation On Blocked instructions,Validation failure,Domain violation logged and may be audited
*JOBDTA Job tasks On Job start and stop data(disconnect,prestart) logged and may be audited
*NETCMN Communication & Networking tasks On Action that occur for APPN filtering support logged and may be audited
*SAVRST Object restore On Restore(PGM,JOBD,Authority,CMD,System State) logged and may be audited
*SECURITY Security tasks On All security related functions(CRT/CHG/DLT/RST) logged and may be audited
*SERVICE Services HW/SW On Actions for performing HW or SW services logged and may be audited
*SYSMGT System management Off Registration,Network,DRDA,SysReplay,Operational not logged and cannot be audited
*CREATE Object creation On Newly created objects, Replace exisitng objects logged and may be audited
*DELETE Object deletion On All deletion of external objects logged and may be audited
*OFCSRV Office tasks On Office tasks(system distribution directory,Mail) logged and may be audited
*OPTICAL Optical tasks On Optical tasks(add/remove optical cartridge,Autho) logged and may be audited
*PGMADP Program authority adoption On Program adopted authority, gain access to an object logged and may be audited
*OBJMGT Object management On Object management logged and may be audited
*SPLFDTA Spool management On Spool management logged and may be audited




Consigli generali per la struttura della sicurezza
Se la struttura della sicurezza è semplice risulterà più facile gestirla e controllarla. Inoltre, in questo modo miglioreranno le prestazioni dell'applicazione e delle procedure per la copia di riserva.
Segue un elenco di consigli generali per la struttura della sicurezza:
  • Utilizzare la sicurezza delle risorse insieme ai metodi disponibili, quali le capacità limitate nel profilo utente e la limitazione degli utenti a una serie di menu, per proteggere le informazioni.
    Attenzione: se si utilizza un prodotto come System i Access o se si dispone di linee di comunicazione collegate al sistema, non fare affidamento solo sulla limitazione delle possibilità nel profilo utente e nel controllo accesso menu. È necessario utilizzare la sicurezza delle risorse per proteggere gli oggetti che non si desidera siano accessibili attraverso queste interfacce.
  • Proteggere solo quegli oggetti che necessitano realmente di protezione. Analizzare una libreria per determinare quali oggetti, ad esempio file di dati, siano riservati e proteggano quegli oggetti. Utilizzare un'autorizzazione pubblica per altri oggetti, quali le aree dati e le code messaggi.
  • Passare dal generale al particolare:
    • Pianificare la sicurezza per le librerie e gli indirizzari. Occuparsi dei singoli oggetti solo quando necessario.
    • Pianificare prima di tutto l'autorizzazione pubblica, seguita dall'autorizzazione di gruppo e dalla singola autorizzazione.
  • Rendere l'autorizzazione pubblica per i nuovi oggetti in una libreria (parametro CRTAUT) uguale all'autorizzazione pubblica definita per la maggior parte degli oggetti esistenti nella libreria.
  • Per rendere l'operazione di controllo più facile e migliorare le prestazioni per il controllo dell'autorizzazione, non definire un'autorizzazione privata inferiore a un'autorizzazione pubblica per un oggetto.
  • Utilizzare gli elenchi di autorizzazioni per raggruppare gli oggetti con gli stessi requisiti di sicurezza. Gli elenchi di autorizzazioni sono più facili da gestire rispetto alle singole autorizzazioni e forniscono assistenza nel ripristino delle informazioni relative alla sicurezza.