Webcast zum Thema Webcast zum Thema iSeries SecurityiSeries Security

Wolfgang Greulich(Dipl. Ing. (FH), iSeries SE, Citrix CCA))

WS DatenserviceHauptstr. 2073326 Deggingen

Tel. +49 7334 92198 11Fax +49 7334 92198 98Wolfgang.Greulich@WS-Datenservice.de

Webcast zum Thema Webcast zum Thema iSeries SecurityiSeries Security

Agenda :10:00    Soundcheck10:15    Warum ist die Sicherheit Ihrer IT heute wichtiger denn je?10:25    Welche Bordmittel stellt Ihre iSeries zur Verfügung?10:45    Wie können Sicherheitslücken zuverlässig geschlossen werden (am Beispiel von Bsafe)11:45    Ende

iSeries Security : ISO 17799iSeries Security : ISO 17799

Die wohl weltweit bedeutenste ISO für Sicherheits-Standard ist die ISO 17799. In dieser ISO ist wie in einem

Handbuch für Security geregelt, wie und mit welchen Hilfsmitteln ein Unternehmen einen sinnvollen

Sicherheitsstatus erreicht.

iSeries Security : Basel IIiSeries Security : Basel II

Basel II ist ein komplexes Regelwerk für die Kreditvergabe von Banken. Kreditinstitute müssen umso mehr Geld

vorhalten, je riskanter das Projekt ist, das sie finanzieren wollen

„….Es geht um die Eigenkapitalquote, aber auch um die Unternehmensstrategie, die Marktposition, den technischen Stand der Unternehmens-IT oder

Maßnahmen zur IT-Sicherheit….“

In den USA findet bereits ein regelmäßiges Auditing für Security statt: Externe Experten vergeben ein Zertifikat, mit dem das Unternehmen der Bank bestätigen kann, dass alle Unternehmensdaten sicher sind. Ähnliches

könnte mit Basel II auch in Europa üblich werden. „…. das auch zu günstigeren Krediten im Basel II-Verfahren

führen….“

iSeries Security : Sarbanes iSeries Security : Sarbanes Oxley Akt von 2002Oxley Akt von 2002

Als Folge einer Serie von massiven Mißbräuchen (ENRON Krise, Worldcom Skandal…) im Börsenbereich wurde in den USA der Sabanes-Oxley Akt definiert und verabschiedet. Elf Punkte definieren eindeutig die Vorgehensweise eines Unternehmens zur Erzeugung einer besseren Kontrolle. Einige Punkte stehen im direkten Zusammnehang zur Unternehmens-IT. Für einen  iSeries IT Manager läßt sich sehr einfach zusammen-fassen, daß Daten umfassend gegen ungesetzliche Veränderungen oder Löschungen geschützt werden müssen und daß Datenänderungen protokolliert und und jederzeit für Audits vorhanden sein müssen.

Seitens IT Management muß alles getan werden, um1. Daten gegen ungesetzliche Veränderung und vor Mißbrauch zu

schützen2. Änderungen an den Daten müssen geloggt und für Security

Audits zur Verfügung gestellt werden

iSeries Security : allgemeine iSeries Security : allgemeine EinstellungenEinstellungen

Systemwerte „Sicherheit“ : in Gruppen unterteilt- Allgemeine Systemwerte- Systemwerte zum Handling von Passwörtern- Systemwerte zum Handling von Protokollierungen

Netzwerkattribute : definiert wie das System am Netzwerk teilnimmt, CHGNETA

Drucken der aktuellen Systemsicherheitswerte mit PRTSYSSECA

iSeries Security : Generelle iSeries Security : Generelle EinstellungenEinstellungen

Das System bietet 5 verschiedene Levels :

Level 10 : ohne jegliche Security, auch kein Passwortschutz (seit V4R3 nicht mehr möglich)Level 20 : User benötigt Passwort zum Login, alle Benutzer haben *allobj BerechtigungLevel 30 : wie Level 20, per Default haben die Benutzer keine Berechtigung, muß also explizit gegeben werden (Resource Security)Level 40 : zusätzlich zur Resource Security schlägt die Ausführung von Programmen fehl, wenn der Benutzer über nicht unterstützte Schnittstellen auf Objekte zugreiftLevel 50 : der Zugriff über definierte Schnittstellen läßt sich zusätzlich parametrisieren

Per Default kommen die Systeme mit Level 40, wichtig : Wechsel auf 30 oder höher sollten vorbereitet werden, denn da beginnt der Objektschutz

iSeries Security : Resource iSeries Security : Resource SecuritySecurity

Resource Security definiert, welcher Benutzer wie welche Objekte verwenden darf. Das Ziel ist, jedem Benutzer genügend Berechtigungen zu geben, um ihre Arbeiten zu erfüllen. Jedoch sollte kein Browsen des Systems und es sollten auch keine Änderungen am System möglich sein.

Objektberechtigungen definieren, was ein User mit einem Objekt darf

Berechtigungen für Dateien, Programme, Bibliotheken, Ordner und Directories sind die gebräuchlichsten Berechtigungen. Generell können Berechtigungen aber auf jedes indivudelle Objekt gesetzt werden

iSeries Security : Zugriff auf iSeries Security : Zugriff auf OS/400 ProgrammfunktionenOS/400 Programmfunktionen

wird verwendet, wenn es keine dedizierten Objekte zum Setzen von Berechtigungen gibt.

diese Berechtigungen können über den iSeries Navigator gesetzt werden, entweder über die Berechtigung auf eine Applikation oder über die Benutzerkonfiguration. (Reiter Applikationen)

iSeries Security : Sicherheits iSeries Security : Sicherheits AuditsAudits

Es gibt verschiedene Gründe Sicherheitsaudits durchzuführen :

- interne und externe Prüfung und Kontrolle des Sicherheitsplanes- Kontrolle des Sicherheitsplanes auf Vollständigkeit- Vorbereitung auf kommende Ereignisse z.Bsp. Installation einer neuen Anwendung, Wechsel der Systemsicherheitsstufe oder Änderungen am Netzwerk

Zur Benutzung der zugehörigen Befehle benötigt das Benutzerprofil die *audit Berechtigung.

iSeries Security : Kontrolle des iSeries Security : Kontrolle des interaktiven SignOninteraktiven SignOn

- Definition von Passwort Leveln (Level 0 bis Level 3)- Änderung von bekannten Default Passwörtern (ANZDFTPWD)- Kontrolle der Passwörter sowohl im DST als auch auf Betriebssystem-ebene, es sollte kein Login mit einem Default Passwort möglich sein- CFGSYSSEC (setzt alle diese Kennwörter auf *none, QUSER muß enabled sein für iSeries Access for Windows)- Definition der SignOn Values (QAUTOCFG, QAUTOVRT)- SignOn Error Meldungen angepasst für Hacker- Verfügbarkeit von Benutzerprofilen (CHGACTSCDE)- Inaktive Benutzer automatisch disablen (ANZPRFACT)- Passwortinformationen speichern (Sysval QRETSVRSEC)

iSeries Security : Security iSeries Security : Security ToolsTools

- das Security Tool Programm und die Kommandos sind in der QSYS, generell mit *exclude Berechtigung, erstellte Objekte werden in der QUSRSYS erstellt, dort auch mit *exclude Berechtigung- Bestandteil vom OS/400, Objekte mit qsec*- zur Verwendung der Tools wird *allobj (bzw. für bestimmte Funktionen *secadm, *audit oder *iosyscfg) Berechtigung benötigt, der Printout geht an die Standard Queues, dies sollte also geändert werden *secofr Profil verwenden- Menü SECTOOLS (für interactive Jobs)- Menü SECBATCH (für Batch Jobs, immediataley und für den Job Sceduler)- Command Configure System Security Command (QSYS/QSECCFGS); ändert knapp 30 sicherheitsrelevante Systemwerte; ebenso werden von diversen IBM-supplied Benutzerprofilen die Kennwörter auf *none gesetzt

iSeries Security : iSeries Security : Berechtigung *public Berechtigung *public

widerrufenwiderrufen

- Command QSYS/RVKPUBAUT- setzt die Berechtigung für eine bestimmte Anzahl von Befehlen (sowie den zugehörigen API`s) von *public auf *exclude- muß für QSYS und jede nationale Bibliothek separat durchgeführt werden

iSeries Security : iSeries Security : MenüberechtigungenMenüberechtigungen

- historisch ist die iSeries ein Folgeprodukt der S/36 und S/38 Systeme- sehr oft waren (und sind) die Welten auf einem System gleichzeitig aktiv- Berechtigungen werden sehr oft über Menüs gehandhabt- das Benutzerprofil unterstützt hierbei mit den Optionen INITIAL MENU, INITIAL PROGRAM sowie dem Parameter LIMIT CAPABILITIES (hat nur Auswirkung auf die Befehlszeile, nicht auf remote abgesetzte Kommandos, z.Bsp per FTP)- auf Grund des starken Wechsels in der Clientperipherie ist dieser Schutz jedoch schon lange nicht mehr ausreichend (Zugriff über Netzwerk, Filetransfer, ODBC, SQL, etc.)- Problem : stark limitierte Menüs erzeugt unzufriedene Anwender, wenig abgesicherte Menüs erzeugt „Löcher“

iSeries Security : BibliothekeniSeries Security : Bibliotheken

- um ein Objekt in einer Bibliothek zu verwenden, benötigt der Benutzer die Berechtigung auf das Objekt und auf die Bibliothek- abhängig von der Situation reicht sehr oft die Berechtigung auf die Bibliothek zum Schutz der Objekte- unter Umständen ein sehr einfaches Mittel, um Objekte zu schützen

iSeries Security : iSeries Security : Objektberechtigung auf Objektberechtigung auf

Systembefehle und ProgrammeSystembefehle und Programme

- der Objektschutz muß für alle QSYSxxxx Sprachbibliotheken abgebildet werden- S/36 und S/38 Blbliotheken müssen besonders beachtet werden

iSeries Security : Schutz vor iSeries Security : Schutz vor HackernHackern

- Physikalische Sicherheit – Control Panel- Monitoring von Änderungen an Benutzerprofilen- Signierung von Objekten – Digitale Signaturen, dient zur Identifizierung von Software und Objekten; relevant ist beim Zurückspreichern der Systemwert QVFYOBJRST; im „schärfsten“ Fall ist nur das Zurückspeichern von Software möglich, deren Ursprung dem System bekannt ist- OS/400 mit allen Optionen und licpgm`s ist von einer vetrauenswürdigen Instanz digital signiert- Monitoring von Subsystembeschreibungen, insbesondere von Autostart Job Entries, Job Queue Entries, Routing Entries etc.-

iSeries Security : IFS und iSeries Security : IFS und Workstation ZugriffWorkstation Zugriff

- aus Sicht des Security Administrators ist es wichtig zu verstehen, welche File Systeme verwendet werden (QOPT, QFileSrv.400, QLANSrv etc.)- Für jedes Filesystem gelten spezifische Charakteristika in Bezug auf Berechtigungen, welche im Detail angewandt und beachtet werden müssen- PC`s mit Software,welche das IFS benutzen, sind kritisch. Eine ausgedachte Objektberechtigung ist hier sehr wichtig.- Es kommt oft auf die Sichtweise an, z.Bsp. *use aus Sicht der iSeries heißt, der Benutzer darf VIEW und PRINT des Files. Aus Sicht des PC`s ist VIEW dasselbe wie READING; dies genügt zum Erstellen einer Kopie, also eigentlich nicht das Erwünschte- Für viele remote Zugriffe sind die Konfigurationsmöglichkeiten nicht ausreichend. Meistens kann die Funktion nur komplett abgeschaltet werden. (z.Bsp. Netzwerkattribute)- Generell ist es davon abhängig, welche Serveranwendung mit welcher Clientanwendung kommuniziert

iSeries Security : APPC iSeries Security : APPC KommunikationKommunikation

- wird über Objektberechtigungen gehandhabt, z.Bsp. *exclude auf APPC Device Descriptions, die für die Verbindung zu anderen Systemen verwendet werden

iSeries Security : TCP/IP iSeries Security : TCP/IP KommunikationKommunikation

- TCP/IP Server Jobs laufen im Subsystem QSYSWRK- Wichtig ist das Monitoring von TCP-IP Aktivitäten auf dem System- Kein Starten von unnötigen bzw. nicht verwendeten Diensten

iSeries Security : Exit iSeries Security : Exit ProgrammeProgramme

- viele iSeries Server Funktionen bieten einen Ausstiegspunkt aus dem System. Dies bietet die Möglichkeit, benutzerspezifische Programme bei jedem Aufruf von diesen Funktionen abzuarbeiten- WRKREGINF- Beispiele sind Passwort Validierung, DDM, Remote Sign On, ODBC, TCP/IP Server, Änderungen an den Benutzerprofilen, diverse iSeries Access for Windows Funktionen etc.

iSeries Security : FazitiSeries Security : Fazit

- so komplex wie eine iSeries, so komplex ist auch das Thema iSeries Security- so vielfältig wie die Gefahren, so vielfältig sind die Antworten darauf- viele Punkte sind mit OS/400 Bordmitteln zu erledigen, aber nicht gerade schnell und einfach- die Anforderungen ändern sich laufend- Wir können User nicht auf bestimmte Serverfunktionen und Objekte limitieren- Operationen und Funktionen, die auf der Befehlszeile unterbunden sind, können remote via Netzwerk trotzdem ausgeführt werden- das Systemprotokoll „unterschlägt“ diese Netzwerk Operationen- Für nicht authorisierte Netzwerkzugriffe gibt es kein IDS, Intrusion Detection System

iSeries Security : Präsentation iSeries Security : Präsentation BsafeBsafe

die Antwort auf viele Fragen zum Thema iSeries Security :

Bsafe Enterprise Security for iSeries (und Linux)

1. Intrusion Prevention System (IPS)2. Intrusion Detection System (IDS)

3. Hochentwickelte Netzwerkprotokollierung und Ereignis Management

4. Grafische Netzwerk Analyse5. Integritätsüberwachung der Daten

6. Integriertes Sicherheitsmanagement7. Komplett Windows basierende Management GUI

iSeries Security : Teststellung iSeries Security : Teststellung BsafeBsafe

Link zur Anforderung einer Teststellung :http://www.ws-datenservice.de/Teststellung-Bsafe.html

Link zum Produkt :http://www.ws-datenservice.de/Bsafe-made.html

Vielen Dank, daß Sie sich heute Zeit genommen haben

Fragen ??