Consejos y Herramientas Para Asegurar El Sistema ISeries

iSeries

Consejos y herramientas para la seguridad del iSeriesVersión 5

SC10-3122-05

IBM

NotaAntes de utilizar esta información y el producto al que da soporte, asegúrese de leer lainformación de los artículos sobre Seguridad básica que encontrará en línea en el InformationCenter. La dirección de URL de Internet es http://www.ibm.com/eserver/iseries/infocenter.

Sexta Edición (Mayo 2001)

Esta edición sustituye a SC41-5300-04. Esta edición sólo se aplica a las versiones de OS/400 que sean iguales oposteriores a V4R1.

© Copyright International Business Machines Corporation 1996, 2001. Reservados todos los derechos.

||

Contenido

Figuras . . . . . . . . . . . . . . vii

Tablas . . . . . . . . . . . . . . . ix

Acerca de Consejos y herramientaspara la seguridad del iSeries 400(SC41-5300) . . . . . . . . . . . . . xiA quién está dirigido este manual . . . . . . . xiCómo utilizar esta publicación . . . . . . . . xiiRequisitos e información relacionada . . . . . . xiiOperations Navigator. . . . . . . . . . . xiiiCómo enviar sus comentarios . . . . . . . . xiii

Resumen de los cambios . . . . . . . xv

Parte 1. Lea esto primero . . . . . . 1

Capítulo 1. Mejoras en la seguridad deiSeries 400 . . . . . . . . . . . . . 3Mejoras de seguridad para la V5R1 . . . . . . . 3Mejoras de seguridad para la V4R5 . . . . . . . 4Mejoras de seguridad para la V4R4 . . . . . . . 5Mejoras de seguridad para la V4R3 . . . . . . . 6Mejoras de seguridad para la V4R2 . . . . . . . 7Mejoras de seguridad para la V4R1 . . . . . . . 9

Parte 2. Consejos para la seguridadbásica del sistema iSeries 400 . . . 11

Capítulo 2. Elementos básicos de laseguridad de iSeries . . . . . . . . . 13Niveles de seguridad . . . . . . . . . . . 13Valores globales . . . . . . . . . . . . . 14Perfiles de usuario . . . . . . . . . . . . 15Perfiles de grupo . . . . . . . . . . . . 15Seguridad por recursos . . . . . . . . . . 15Acceso limitado a las funciones del programa . . . 16Auditoría de la seguridad . . . . . . . . . 18Informe de atributos de seguridad del sistema –ejemplo. . . . . . . . . . . . . . . . 19

Capítulo 3. Asistente de seguridad yAsesor de seguridad iSeries 400 . . . 21Asistente de seguridad iSeries 400 . . . . . . . 21Asesor de seguridad iSeries 400 . . . . . . . 23

Capítulo 4. Consejos para controlar elinicio de sesión interactivo . . . . . . 25Definición de las normas para las contraseñas . . . 25Niveles de contraseña . . . . . . . . . . . 26

Planificación de cambios de nivel de contraseña 27

Cambio de contraseñas conocidas públicamente . . 31Establecimiento de los valores de inicio de sesión . 34Cambio de los mensajes de error de inicio de sesión 35Planificación de la disponibilidad de los perfiles deusuario . . . . . . . . . . . . . . . . 36Eliminación de perfiles de usuario inactivos . . . 37

Inhabilitación automática de perfiles de usuario 37Eliminación automática de perfiles de usuario . . 38

Cómo evitar las contraseñas por omisión . . . . 38Supervisión de la actividad de inicio de sesión y decontraseña . . . . . . . . . . . . . . . 39Consejos para el almacenamiento de la informaciónde contraseñas . . . . . . . . . . . . . 40

Capítulo 5. Cómo realizar la puesta apunto del sistema para utilizar lasHerramientas de seguridad . . . . . . 41Iniciación a las Herramientas de seguridad . . . . 41

Seguridad en las Herramientas de seguridad . . 41Cómo evitar conflictos de archivos . . . . . 41Cómo salvar las Herramientas de seguridad . . 42

Mandatos y menús de los mandatos de seguridad 42Opciones del menú Herramientas de seguridad 42Cómo utilizar el menú Proceso por lotes de laseguridad . . . . . . . . . . . . . . 45Mandatos para personalizar la seguridad . . . 52Valores establecidos por el mandato Configurarseguridad del sistema . . . . . . . . . . 53Acciones del mandato Revocar autorización deuso público . . . . . . . . . . . . . 55

Parte 3. Consejos para la seguridadavanzada del sistema . . . . . . . 57

Capítulo 6. Utilización de laautorización sobre objetos paraproteger la información . . . . . . . 59¿El sistema aplica siempre la autorización sobreobjetos?. . . . . . . . . . . . . . . . 59El legado de la seguridad de menús . . . . . . 60

Limitaciones del control de acceso a menús. . . 60Consejos para mejorar el control de acceso amenús con la seguridad de objetos . . . . . 61Preparación de un entorno de transición–Ejemplo 61Utilización de la seguridad de bibliotecas paracomplementar la seguridad de menús . . . . 63

Consejos para preparar la propiedad de objetos . . 64Consejos para la autorización sobre objetos paramandatos del sistema y programas . . . . . . 64Consejos para la auditoría de funciones deseguridad . . . . . . . . . . . . . . . 64

Auditoría de la seguridad . . . . . . . . 64Análisis de perfiles de usuario . . . . . . . 65

© Copyright IBM Corp. 1996, 2001 iii

||

||

||||

Consejos para analizar las autorizaciones sobreobjetos . . . . . . . . . . . . . . . 67Búsqueda de objetos alterados . . . . . . . 67Análisis de programas que adoptanautorizaciones . . . . . . . . . . . . 68Búsqueda de objetos alterados . . . . . . . 68Consejos para gestionar el diario de auditoría ylos receptores de diario . . . . . . . . . 69

Capítulo 7. Consejos para gestionar ysupervisar la autorización . . . . . . 73Supervisión de la autorización de uso público sobreobjetos . . . . . . . . . . . . . . . . 73Gestión de la autorización para objetos nuevos . . 74Supervisión de las listas de autorizaciones . . . . 74

Consejos para utilizar Listas de autorizaciones. . 75Herramienta de política de auditorías . . . . 77Herramienta de política de seguridad . . . . 79

Supervisión de la autorización privada sobre losobjetos . . . . . . . . . . . . . . . . 80Supervisión del acceso a las colas de salida y a lascolas de trabajos . . . . . . . . . . . . . 81Supervisión de autorizaciones especiales. . . . . 82Supervisión de entornos de usuario . . . . . . 83Gestión de herramientas de servicio . . . . . . 84

Service Tools Server (STS) . . . . . . . . 85Utilización de perfiles de usuario deherramientas de servicio . . . . . . . . . 87Utilización de perfiles de dispositivo deherramientas de servicio . . . . . . . . . 91Utilización de datos de seguridad de servicio . . 94Inicio de sesión en las Herramientas de serviciodel sistema (SST) . . . . . . . . . . . 98

Capítulo 8. Utilización de seguridad enparticiones lógicas (LPAR) . . . . . . 99Gestión de la seguridad para las particiones lógicas 100

Capítulo 9. Consejos para lautilización de la Consola deoperaciones de AS/400 . . . . . . . 103Visión general de la seguridad de la Consola deoperaciones . . . . . . . . . . . . . . 104

Autenticación del dispositivo de consola . . . 104Autenticación de usuario . . . . . . . . 104Privacidad de datos . . . . . . . . . . 104Integridad de datos . . . . . . . . . . 105

Consejos para la utilización de la Consola deoperaciones con conectividad LAN . . . . . . 105Consejos para la protección de la Consola deoperaciones con conectividad LAN . . . . . . 105Utilización del asistente de configuración de laConsola de operaciones . . . . . . . . . . 106

Capítulo 10. Detección de programassospechosos . . . . . . . . . . . 107Protección contra los virus informáticos . . . . 107Supervisión de la utilización de autorizaciónadoptada . . . . . . . . . . . . . . . 109

Limitación de la utilización de la autorizaciónadoptada . . . . . . . . . . . . . . . 110

Evitar que programas nuevos utilicenautorización adoptada . . . . . . . . . 111

Supervisión de la utilización de programasdesencadenantes . . . . . . . . . . . . 113Comprobación de programas ocultos . . . . . 114Evaluación de programas de salida registrados . . 116Comprobación de programas planificados . . . . 117Restricción de las posibilidades de salvar yrestaurar . . . . . . . . . . . . . . . 117Comprobación de los objetos de usuario enbibliotecas protegidas. . . . . . . . . . . 118

Capítulo 11. Consejos para evitar ydetectar intentos de pirateo . . . . . 121Consejos de seguridad física . . . . . . . . 121Consejos para supervisar la actividad del perfil deusuario . . . . . . . . . . . . . . . 121Consejos para la firma de objetos. . . . . . . 122Consejos para supervisar descripciones desubsistema . . . . . . . . . . . . . . 123Consejos para las entradas de trabajo de arranqueautomático . . . . . . . . . . . . . . 124Consejos para nombres y tipos de estaciones detrabajo. . . . . . . . . . . . . . . . 124Consejos para entradas de cola de trabajos . . . 125Consejos para entradas de direccionamiento . . . 125Consejos para entradas de comunicaciones ynombres de ubicación remota . . . . . . . . 125Consejos para entradas de trabajo de prearranque 126Consejos para trabajos y descripciones de trabajo 126Consejos para los Nombres de programas detransacciones con arquitectura . . . . . . . . 127

Peticiones de TPN con arquitectura . . . . . 128Métodos para supervisar eventos de seguridad . . 129

Parte 4. Consejos para lasaplicaciones y lascomunicaciones de red . . . . . . 131

Capítulo 12. Utilización del Sistema deArchivos Integrado (IFS) paraproteger los archivos . . . . . . . . 133El método de seguridad del Sistema de ArchivosIntegrado (IFS) . . . . . . . . . . . . . 133Consejos de seguridad para los sistemas dearchivos raíz (/), QOpenSys y los definidos por elusuario . . . . . . . . . . . . . . . 135

Cómo funciona la autorización para los sistemasde archivos raíz (/), QOpenSys y los definidospor el usuario . . . . . . . . . . . . 135

Mandato Imprimir objetos con autorizaciónprivada (PRTPVTAUT) . . . . . . . . . . 138Mandato Imprimir objetos con autorizaciones deuso público (PRTPUBAUT) . . . . . . . . . 139Restricción del acceso al sistema de archivosQSYS.LIB. . . . . . . . . . . . . . . 140Seguridad de los directorios . . . . . . . . 141

iv iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

|||||||||||||||

||||||||||||||||||||

||

Seguridad para nuevos objetos . . . . . . . 141Utilización del mandato Crear directorio deiSeries 400 . . . . . . . . . . . . . 142Creación de un directorio con una API . . . . 142Creación de un archivo continuo con las APIopen() o creat() . . . . . . . . . . . . 142Creación de un objeto utilizando una interfaz dePC . . . . . . . . . . . . . . . . 142

Consejos de seguridad para los sistemas dearchivos QLANSrv y QNetWare . . . . . . . 143Consejos de seguridad para el sistema de archivosQFileSvr.400 . . . . . . . . . . . . . . 143Consejos de seguridad para el sistema de archivosde red . . . . . . . . . . . . . . . . 144

Capítulo 13. Consejos para laseguridad de las comunicacionesAPPC . . . . . . . . . . . . . . . 147Terminología de APPC . . . . . . . . . . 147Elementos básicos de las comunicaciones APPC 148Conceptos básicos de una sesión APPC. . . . . 148

Consejos para restringir las sesiones APPC . . 149Cómo un usuario de APPC obtiene acceso alsistema destino . . . . . . . . . . . . . 150

Métodos que utiliza el sistema para enviarinformación sobre un usuario . . . . . . . 150Opciones para repartir la responsabilidad de laseguridad en una red. . . . . . . . . . 151

Cómo asigna el sistema de destino un perfil deusuario para el trabajo . . . . . . . . . . 152Opciones para el paso a través de estación depantalla . . . . . . . . . . . . . . . 153Consejos para evitar asignaciones inesperadas dedispositivos . . . . . . . . . . . . . . 155Consejos para el control de los trabajos por lotes ylos mandatos remotos . . . . . . . . . . 155Consejos de seguridad para la evaluación de laconfiguración APPC . . . . . . . . . . . 156

Parámetros relativos a la seguridad para losdispositivos APPC. . . . . . . . . . . 156Parámetros relativos a la seguridad para loscontroladores APPC . . . . . . . . . . 159Parámetros relativos a la seguridad para lasdescripciones de línea . . . . . . . . . 160

Consideraciones sobre seguridad de APPC APPN yHPR . . . . . . . . . . . . . . . . 160

Seguridad a nivel de sesión para APPN y HPR 161Protección del sistema en un entorno APPN yHPR . . . . . . . . . . . . . . . 162

Capítulo 14. Consejos para laseguridad de las comunicacionesTCP/IP . . . . . . . . . . . . . . 167Consejos para evitar procesos TCP/IP . . . . . 167Componentes de seguridad de TCP/IP . . . . . 167

Características de Seguridad de paquetes paraasegurar el tráfico de TCP/IP . . . . . . . 168Servidor proxy HTTP. . . . . . . . . . 169

Consejos generales para la seguridad del entornoTCP/IP . . . . . . . . . . . . . . . 170

Control de los servidores TCP/IP que se inicianautomáticamente . . . . . . . . . . . 170

Consejos para controlar la utilización de SLIP . . 172Control de conexiones de marcación SLIP . . . 173Control de las sesiones de marcación . . . . 175

Consideraciones de seguridad para el protocoloPPP (punto a punto) . . . . . . . . . . . 176Consejos de seguridad para Telnet . . . . . . 178

Consejos para evitar el acceso de Telnet . . . 178Consejos para controlar el acceso de Telnet . . 179

Consejos de seguridad para el protocolo detransferencia de archivos . . . . . . . . . 183

Consejos para evitar el acceso de FTP . . . . 183Consejos para controlar el acceso de FTP . . . 184

Consejos para la seguridad del servidor deProtocolo Bootstrap . . . . . . . . . . . 186

Consejos para evitar el acceso BOOTP . . . . 186Consejos para la seguridad del servidor BOOTP 187

Consejos para la seguridad del servidor Protocolode Configuración Dinámica de Sistema Principal(DHCP) . . . . . . . . . . . . . . . 187

Consejos para evitar el acceso con DHCP . . . 187Consejos para la seguridad del servidor DHCP 188

Consejos para la seguridad del servidor deProtocolo trivial de transferencia de archivos . . . 189

Consejos para evitar el acceso TFTP . . . . . 189Consejos para la seguridad del servidor TFTP 190

Consejos para la seguridad del Servidor deEXECution remoto . . . . . . . . . . . 191

Consejos para evitar el acceso REXEC . . . . 191Consejos para la seguridad del Servidor REXEC 191

Consejos de seguridad para el Daemon de ruta . . 192Consejos para la seguridad del servidor Sistema denombres de dominio (DNS) . . . . . . . . 193

Consejos para evitar el acceso con DNS . . . 193Consejos para la seguridad del servidor DNS 193

Consejos de seguridad para el protocolo simple detransferencia de correo . . . . . . . . . . 194

Consejos para evitar el acceso de SMTP . . . 194Consejos para controlar el acceso de SMTP . . 195

Consejos de seguridad para POP (Protocolo deOficina Postal) . . . . . . . . . . . . . 198

Consejos para evitar el acceso de POP . . . . 198Consejos para controlar el acceso de POP . . . 199

Consejos de seguridad para servicios Web desde eliSeries 400 . . . . . . . . . . . . . . 200

Consejos para evitar el acceso . . . . . . . 201Consejos para controlar el acceso . . . . . . 201Consejos de seguridad para utilizar SSL conIBM HTTP Server para iSeries 400 . . . . . 206

Seguridad de LDAP (Lightweight Directory AccessProtocol) . . . . . . . . . . . . . . . 207

Conceptos básicos sobre LDAP . . . . . . 208Características de seguridad de LDAP . . . . 212

Consejos de seguridad para el WorkstationGateway Server . . . . . . . . . . . . 212

Consejos para evitar el acceso de WSG . . . . 213Consejos para controlar el acceso de WSG . . . 213

Consejos de seguridad para el Daemon deimpresora de líneas . . . . . . . . . . . 215

Consejos para evitar el acceso de LPD . . . . 215

Contenido v

||

Consejos para controlar el acceso de LPD . . . 215Consejos de seguridad para el Protocolo simple degestión de red . . . . . . . . . . . . . 216

Consejos para evitar el acceso SNMP . . . . 216Consejos para controlar el acceso de SNMP . . 217

Consejos de seguridad para el servidor INETD . . 217Consejos para limitar la posibilidad de vagar por lared con TCP/IP . . . . . . . . . . . . 218Consejos para la seguridad del programa bajolicencia Soporte de servidor de archivos TCP/IPpara OS/400. . . . . . . . . . . . . . 219Utilización de VPN para asegurar las aplicacionesTCP/IP . . . . . . . . . . . . . . . 220

Capítulo 15. Consejos para laseguridad del PC . . . . . . . . . . 221Consejos para evitar los virus en el PC . . . . . 221Consejos para la seguridad del acceso a datosdesde PC . . . . . . . . . . . . . . . 221

Autorización sobre objetos con acceso desde PC 222Administración de aplicaciones de Client Access 223Utilización de SSL con Client Access Express 224Seguridad y Operations Navigator . . . . . 225

Consejos para el acceso de ODBC (conectividad debase de datos abierta) . . . . . . . . . . 226Consideraciones de seguridad sobre las contraseñasde sesión de PC . . . . . . . . . . . . 227Consejos para proteger el iSeries de mandatos yprocedimientos remotos . . . . . . . . . . 229Consejos para proteger a los PC de mandatos yprocedimientos remotos . . . . . . . . . . 229Consejos para los servidores de pasarela . . . . 230Consejos para las comunicaciones LANinalámbricas. . . . . . . . . . . . . . 231

Capítulo 16. Consejos para el uso delos programas de salida de seguridad. 233

Capítulo 17. Consideraciones sobreseguridad para Java . . . . . . . . 235

Aplicaciones Java . . . . . . . . . . . . 235Applets Java. . . . . . . . . . . . . . 236Servlets Java. . . . . . . . . . . . . . 236Autenticación y autorización de Java . . . . . 237

Capítulo 18. Consideraciones deseguridad para los navegadores . . . 239Riesgo: Daños en el PC local . . . . . . . . 239Riesgo: Acceso a los directorios de iSeries a travésde unidades correlacionadas . . . . . . . . 239Riesgo: Confianza en applets firmados . . . . . 240

Capítulo 19. Consejos para laseguridad de Domino para iSeries . . 241

Parte 5. Consejos y herramientaspara la seguridad de Internet eniSeries 400 . . . . . . . . . . . . 243

Parte 6. Apéndices . . . . . . . . 245

Apéndice. IBM SecureWay: iSeries400 e Internet . . . . . . . . . . . 247Seguridad C2 . . . . . . . . . . . . . 247

Avisos . . . . . . . . . . . . . . 249Marcas registradas. . . . . . . . . . . . 251

Dónde obtener más información yayuda . . . . . . . . . . . . . . . 253Acerca de IBM SecureWay . . . . . . . . . 253Ofertas de servicio . . . . . . . . . . . 253Publicaciones relacionadas . . . . . . . . . 255

Índice . . . . . . . . . . . . . . . 257

vi iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

|||

Figuras

1. Administración de aplicaciones . . . . . . 172. Informe de atributos de seguridad del sistema

- Ejemplo . . . . . . . . . . . . . 193. Pantalla de planificación de activación de

perfil–Ejemplo . . . . . . . . . . . 364. Informe de usuarios–Ejemplo de información

de contraseñas . . . . . . . . . . . 395. Menú de entrada de pedidos de ejemplo 606. Ejemplo de informe de objetos con

autorización de uso público . . . . . . . 747. Informe de autorizaciones privadas para listas

de autorizaciones . . . . . . . . . . 758. Informe Visualizar objetos de lista de

autorizaciones. . . . . . . . . . . . 759. Informe de autorizaciones privadas–Ejemplo 81

10. Informe Autorización sobre colas–Ejemplo 8111. Informe de usuarios–Ejemplo 1 . . . . . . 8212. Informe de usuarios–Ejemplo 2 . . . . . . 8313. Imprimir perfil de usuario-Ejemplo de entorno

de usuario . . . . . . . . . . . . . 8414. Trabajar con entorno DST . . . . . . . . 8415. Pantalla Seleccionar tipo de consola . . . . 8516. Pantalla Configurar adaptador de herramientas

de servicio . . . . . . . . . . . . . 8617. Pantalla Añadir entrada de tabla de servicios

(ADDSRVTBLE) completada . . . . . . . 8718. Trabajar con perfiles de usuario de

herramientas de servicio . . . . . . . . 8819. Trabajar con perfiles de dispositivo de

herramientas de servicio . . . . . . . . 9220. Trabajar con datos de seguridad de

herramientas de servicio . . . . . . . . 9521. Restablecer la contraseña por omisión del

sistema operativo . . . . . . . . . . 9522. Confirmar restablecer la contraseña por

omisión del sistema . . . . . . . . . . 95

23. Cambiar seguridad de instalación del sistemaoperativo . . . . . . . . . . . . . 96

24. Inicio de sesión de SST. . . . . . . . . 9825. Las contraseñas protegen la información del

perfil de dispositivo de servicio . . . . . 10626. Informe de objetos adoptados por perfil de

usuario-Informe completo . . . . . . . 11027. Informe de objetos adoptados por perfil de

usuario-Informe de modificación . . . . . 11028. Informe de Imprimir programas

desencadenantes-Ejemplo de informecompleto . . . . . . . . . . . . . 114

29. Informe de Imprimir programasdesencadenantes-Ejemplo de informe demodificación . . . . . . . . . . . . 114

30. Trabajar con información de registro - ejemplo 11631. Informe de Imprimir objetos de

usuario-Ejemplo. . . . . . . . . . . 11932. Pantalla Visualizar descripción de subsistema 12433. Informe Descripciones de trabajo con

autorización excesiva-Ejemplo . . . . . . 12734. Parámetros de descripción de dispositivo

APPC . . . . . . . . . . . . . . 14835. Descripciones de dispositivo APPC-Informe

de ejemplo . . . . . . . . . . . . 15636. Informe de lista de configuraciones-Ejemplo 15737. Descripciones de controlador APPC-Ejemplo

de informe . . . . . . . . . . . . 15938. Descripciones de línea de APPC-Ejemplo de

informe . . . . . . . . . . . . . 16039. Dos redes APPN conectadas . . . . . . 16240. Dos redes APPN conectadas . . . . . . 16441. Una estructura de directorio LDAP básica 21042. iSeries con servidor de pasarela–Ejemplo 230

© Copyright IBM Corp. 1996, 2001 vii

|||||||||||||||||||||||||

||||||||

viii iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

Tablas

1. Valores del sistema para las contraseñas 252. Contraseñas para perfiles proporcionados por

IBM . . . . . . . . . . . . . . . 333. Contraseñas para Herramientas de Servicio

Dedicado . . . . . . . . . . . . . 344. Valores del sistema de inicio de sesión . . . 345. Mensajes de error de inicio de sesión . . . . 356. Mandatos de las herramientas para perfiles de

usuario . . . . . . . . . . . . . . 437. Mandatos de herramientas para la auditoría de

seguridad . . . . . . . . . . . . . 458. Mandatos de los informes de seguridad 489. Mandatos para personalizar el sistema . . . 52

10. Valores establecidos por el mandatoCFGSYSSEC . . . . . . . . . . . . 53

11. Mandatos cuya autorización de uso público seestablece con el mandato RVKPUBAUT . . . 55

12. Programas cuya autorización de uso público seestablece con el mandato RVKPUBAUT . . . 56

13. Resultados de cifrado . . . . . . . . . 10314. Ejemplo de Utilizar autorización adoptada

(USEADPAUT) . . . . . . . . . . . 111

15. Programas de salida proporcionados por elsistema. . . . . . . . . . . . . . 115

16. Puntos de salida para la actividad del perfilde usuario . . . . . . . . . . . . 122

17. Programas y usuarios para peticiones de TPN 12818. Valores de seguridad en la arquitectura APPC 15019. Funcionamiento conjunto del valor de

seguridad de APPC y del valor SECURELOC . 15120. Valores posibles para el parámetro de usuario

por omisión . . . . . . . . . . . . 15221. Ejemplo de peticiones de inicio de sesión

mediante paso a través . . . . . . . . 15322. Cómo determinan los mandatos de TCP/IP

cuáles son los servidores a iniciar . . . . . 17123. Valores de inicio automático para servidores

TCP/IP . . . . . . . . . . . . . 17124. Funcionamiento de QRMTSIGN con TELNET 18125. Fuentes de los programas de salida de

ejemplo . . . . . . . . . . . . . 233

© Copyright IBM Corp. 1996, 2001 ix

||

x iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

Acerca de Consejos y herramientas para la seguridad deliSeries 400 (SC41-5300)

El papel que juegan los sistemas informáticos en las empresas está cambiandorápidamente. Los directores de IT, los proveedores de software, los administradoresde seguridad y los auditores deben reconsiderar muchos puntos que antes habíandado por supuestos. La seguridad de iSeries se debe incluir en la lista.

Los sistemas proporcionan un gran número de nuevas funciones que son muydistintas de las aplicaciones de contabilidad tradicionales. Los usuarios entran enlos sistemas con métodos nuevos: redes LAN, de líneas conmutadas (demarcación), inalámbricas; en resumen, redes de todo tipo. A menudo, los usuariosno ven jamás una pantalla de conexión. Numerosas organizaciones se estánconvirtiendo en “compañías distribuidas”, ya sea con redes propietarias o conInternet.

De pronto parece que los sistemas tienen un conjunto de puertas y ventanascompletamente nuevo. Los gestores de sistemas y los administradores deseguridad tienen motivos para estar muy preocupados por la protección de lainformación en este entorno en cambio constante.

Este libro proporciona consejos prácticos para la utilización de las funciones deseguridad de los sistemas iSeries y para establecer procedimientos operativos quetengan en cuenta la seguridad. Las recomendaciones de esta publicación sonaplicables a una instalación con riesgos y requisitos de seguridad medios. En estelibro no proporciona una descripción completa de las funciones de seguridad deliSeries disponibles. Si desea consultar las opciones adicionales o necesita unainformación básica más completa, consulte las publicaciones descritas en″Publicaciones relacionadas″ dentro del tema “Dónde obtener más información yayuda” en la página 253.

En este libro también se describe cómo configurar y utilizar las herramientas deseguridad que forman parte de OS/400. “Capítulo 5. Cómo realizar la puesta apunto del sistema para utilizar las Herramientas de seguridad” en la página 41 y“Mandatos y menús de los mandatos de seguridad” en la página 42 proporcionaninformación de consulta sobre las herramientas de seguridad. En toda lapublicación se proporcionan ejemplos de la utilización de las mismas.

A quién está dirigido este manualEl responsable de la seguridad de un sistema es el responsable de seguridad o eladministrador de seguridad. Esta función implica las tareas siguientes:v Puesta a punto y gestión de los perfiles de usuariov Definición de valores para todo el sistema que afectan a la seguridadv Administración de autorización sobre objetosv Aplicación y supervisión de las estrategias de seguridad

Si es el responsable de la administración de la seguridad de uno o varios sistemasiSeries, este libro está dirigido a usted. En las instrucciones se da por supuesto losiguiente:

© Copyright IBM Corp. 1996, 2001 xi

||||||

v Está familiarizado con los procedimientos de operación básicos de iSeries, comoel inicio de sesión y la utilización de mandatos.

v Está familiarizado con los elementos básicos de la seguridad del iSeries: nivelesde seguridad, valores del sistema para seguridad, perfiles de usuario yseguridad de objetos.

Nota: En el “Capítulo 2. Elementos básicos de la seguridad de iSeries” en lapágina 13 se facilita el resumen de estos elementos. Si estos elementosbásicos son nuevos para usted, lea el tema Seguridad básica y planificaciónen el iSeries Information Center. Vea “Requisitos e informaciónrelacionada” para obtener más detalles.

v Ha activado la seguridad en el sistema definiendo el valor del sistema de nivelde seguridad (QSECURITY) en 30, como mínimo.

IBM amplía continuamente las funciones de seguridad del iSeries. Para beneficiarsede estas mejoras, es necesario evaluar regularmente el paquete de arreglosacumulativos que esté disponible en cada momento para el release del quedisponga. Compruebe si contiene arreglos que conciernan a la seguridad. Además,en el “Capítulo 1. Mejoras en la seguridad de iSeries 400” en la página 3 sedescriben las mejoras más importantes para la seguridad del iSeries que harealizado IBM en los releases más recientes del sistema operativo.

Cómo utilizar esta publicaciónSi no preparó el sistema para utilizar las herramientas de seguridad o si instaló elKit de utilidades de seguridad OS/400 de un release anterior, haga lo siguiente:1. Empiece por el “Capítulo 3. Asistente de seguridad y Asesor de seguridad

iSeries 400” en la página 21. En él se describe cómo utilizar estas característicaspara seleccionar las herramientas de seguridad recomendadas y cómo aprendera utilizarlas.

2. Para una mayor información básica sobre seguridad puede ver el tema SecurityBasic, en línea en el Information Center.

Seleccione lo que necesiteEste libro contiene muchos consejos para proteger el iSeries. Es posible que susistema sólo necesite protección en ciertas áreas. Utilice este manual paraobtener información sobre los riesgos posibles y sus soluciones. Despuéscentre su atención en las áreas que sean más importantes para su sistema.

Requisitos e información relacionadaUtilice el iSeries Information Center como punto de partida para consultasinformación técnica sobre el iSeries y el AS/400e. El iSeries Information Center essu recurso principal para buscar información sobre iSeries 400, ya que incluyeinformación que no encontrará en ningún otro lugar. Puede acceder al InformationCenter de dos maneras:v Desde el siguiente sitio Web:

http://www.ibm.com/eserver/iseries/infocenter

v Desde los CD-ROM que se envían con el pedido del Operating System/400:iSeries Information Center, SK3T-7769-00 (SK3T-4091-00). Este paquete tambiénincluye las versiones PDF de los manuales del iSeries Information Center, iSeries

xii iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

|||||

|||||||

|

|||||

|

|

|

||

Information Center: Manuales suplementarios, SK3T-7770-00 (SK3T-4092-00), quesustituye al CD-ROM de biblioteca en soporte software.

El Information Center contiene asesores y temas de importancia como, porejemplo, mandatos CL, interfaces de programas de aplicación de sistemas (API),particiones lógicas, clusters, Java, TCP/IP, servidores Web y redes seguras. Tambiénincluye enlaces con los Libros rojos de IBM relacionados y enlaces de Internet conotros sitios Web IBM como, por ejemplo, Technical Studio y la página depresentación de IBM.

Con cada nuevo pedido de hardware, recibirá la siguiente información enCD-ROM:v iSeries 400 Instalación y biblioteca de servicio, SK3T-7771-00 (SK3T-4096-00). Este

CD-ROM contiene manuales PDF necesarios para la instalación y elmantenimiento del sistema de un servidor IBM ~ iSeries 400.

v iSeries 400 CD-ROM de instalación y operaciones, SK3T-7768-00 (SK3T-4098-00). EsteCD-ROM contiene IBM iSeries Client Access Express para Windows y elasistente EZ-Setup. Client Access Express ofrece un potente conjunto deposibilidades para cliente y servidor para conectar PCs a servidores iSeries. Elasistente EZ-Setup automatiza muchas de las tareas de puesta a punto deliSeries.

Operations NavigatorOperations Navigator de IBM iSeries es una potente interfaz gráfica para la gestiónde los servidores iSeries y AS/400e. La funcionalidad del Operations Navigatorincluye la navegación del sistema, configuración, posibilidades de planificación yayuda en línea para guiarle en las tareas. El Operations Navigator hace que laoperación y la administración del servidor resulte más fácil y productiva y es laúnica interfaz de usuario para las nuevas funciones avanzadas del sistemaoperativo OS/400. También incluye Management Central para la gestión demúltiples servidores desde un servidor central.

Para obtener más información sobre Operations Navigator, consulte el InformationCenter.

Cómo enviar sus comentariosSus opiniones nos resultan de gran ayuda para poder proporcionarle lainformación más útil y precisa para sus necesidades. Si tiene comentarios sobreesta publicación o cualquier otra documentación de iSeries, puede enviárnoslosutilizando el formulario de comentarios del lector.v Si prefiere enviar los comentarios por correo electrónico, utilice una de estas

direcciones:– Comentarios sobre publicaciones:

[email protected]

– Comentarios sobre iSeries Information Center:[email protected]

v O bien, si prefiere enviar los comentarios por correo, puede utilizar el formulariode comentarios del lector que lleva impresa la dirección postal en el reverso. Sienvía el formulario de comentarios del lector desde un país que no sea EstadosUnidos, puede entregar el formulario a la sucursal local de IBM o alrepresentante de IBM para su envío con franqueo pagado.

Acerca de Consejos y herramientas para la seguridad del iSeries 400 (SC41-5300) xiii

||

||||||

||

|||

||||||

|

||||||||

||

v Si prefiere enviar los comentarios por FAX, utilice cualquiera de los númerossiguientes:– Desde España: (93) 321 61 34– Desde otros países: 34 93 321 61 34

Asegúrese de incluir lo siguiente:v El nombre del libro.v El número de publicación del libro.v El número de página o el tema al que hacen referencia sus comentarios.

xiv iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

Resumen de los cambios

Esta es la sexta edición de Tips and Tools for Securing Your iSeries. Esta edición dasoporte a las versiones V4R1, V4R2, V4R3, V4R4, V4R5 y V5R1 de OS/400. Paraver qué se ofrece en cada uno de estos releases del OS/400 en lo que se refiere anuevas funciones de seguridad, consulte el “Capítulo 1. Mejoras en la seguridad deiSeries 400” en la página 3, que proporciona una descripción de la nuevainformación sobre seguridad para cada versión.

También se han realizado otras modificaciones técnicas y tipográficas de menorimportancia. Una línea vertical (|), a la izquierda del texto, indica que se haefectuado una modificación o que se ha añadido información.

© Copyright IBM Corp. 1996, 2001 xv

||||||

|||

xvi iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

Parte 1. Lea esto primero

Por el picor que hay en mis dedossé que la infamia se aproxima.A quienquiera que sea,abridle los cerrojos.

William Shakespeare: Macbeth

RV3M1202-0

© Copyright IBM Corp. 1996, 2001 1

2 iSeries 400 Consejos y herramientas para la seguridad del iSeries V5R1

Capítulo 1. Mejoras en la seguridad de iSeries 400

La siguiente información le ofrece una breve visión general de los cambios y lasadiciones realizados en las características de seguridad para iSeries. Se destacan lasmejoras en la seguridad para los releases V4R1, V4R2, V4R3, V4R4, V4R5 y V5R1.Encontrará consejos más detallados en cada tema individual.

Nota:

El iSeries Information Center (IC) es su recurso principal para buscarinformación sobre iSeries 400. La mayoría de nuevas funciones como, porejemplo, la gestión de particiones lógicas, la gestión de certificados digitales,etc. están documentados ampliamente en IC solamente. El IC tambiénproporciona enlaces con otros recursos de información sobre iSeries 400,tales como Technical Studio y la biblioteca en línea.

Para obtener más información sobre cómo acceder al Information Center,consulte el apartado “Requisitos e información relacionada” en la página xii.

Mejoras de seguridad para la V5R1v Niveles de contraseña: La V5R1 ofrece cifrado de seguridad por contraseña

mejorado. Se da soporte a múltiples niveles de seguridad por contraseñautilizando algoritmos criptográficos avanzados para proteger las contraseñas deusuario. Vea “Niveles de contraseña” en la página 26 para obtener más detalles.

v Herramientas de servicio del sistema: Un procedimiento de inicio de sesiónmodificado protege el acceso a las herramientas de servicio del sistema. Vea“Inicio de sesión en las Herramientas de servicio del sistema (SST)” en lapágina 98 para obtener información sobre el nuevo procedimiento.

v Servicio de Autenticación de Red: El Servicio de Autenticación de Red (NAS) esuna herramienta que verifica la identidad de un usuario de una red. NASautentica el usuario y, seguidamente, pasa la identidad autenticada a otrosservicios de la red. Para obtener información sobre NAS, incluida laterminología, los conceptos, el material de consulta, el proceso mediante el quese produce la autenticación y las instrucciones de tareas para configurar ygestionar NAS, consulte el Information Center (vea “Requisitos e informaciónrelacionada” en la página xii para conocer detalles).

v Calidad de servicio (QoS):QoS es una nueva función que le permite solicitarprioridad de red y ancho de banda para una aplicación TCP/IP. La prioridad depaquetes es de gran importancia si envía aplicaciones que necesiten resultadosprevisibles y fiables como, por ejemplo, multimedia. Para obtener informaciónsobre QoS, incluyendo los conceptos, el material de consulta y las instruccionesde tareas para configurar y gestionar QoS, consulte el Information Center (vea“Requisitos e información relacionada” en la página xii para conocer detalles).

v Firmas digitales: La mayoría de programas del sistema operativo van firmadasdigitalmente. El valor del sistema QVFYOBJRST puede utilizarse para evitar quese almacenen en su sistema programas no firmados o programas con una firmaerrónea. También se ha añadido soporte que le permitirá firmar sus programas,los archivo de salvar y los archivos continuos. La integridad del sistemaoperativo de la V5R1 y la integridad de las opciones y los programas bajolicencia del OS/400 están protegidos mediante firma digital. Consulte “Consejospara la firma de objetos” en la página 122 para obtener más detalles.


||||

|

||||||

||

||

||||

||||

||||||||

|||||||

||||||||

v Consola de operaciones con conectividad LAN: La V5R1 permite llevar a caboactividades de consola por la LAN (red de área local). La autenticación mejoradaproporciona seguridad durante este procedimiento. Vea el “Capítulo 9. Consejospara la utilización de la Consola de operaciones de AS/400” en la página 103para obtener más detalles.

v Perfiles de usuario de la Herramienta de seguridad: Se controla el acceso a lasherramientas de servicio mediante un conjunto ampliado de perfiles de usuario.Utilice las herramientas de seguridad para mejorar la seguridad de la LAN. Vea“Gestión de herramientas de servicio” en la página 84 para obtener más detalles.

v Servidor HTTP para iSeries 400: Ahora se conoce al Internet Connection Server(ICS) como el Servidor HTTP IBM para iSeries 400. Ya no existe un productoServidor HTTP seguro por separado. En su lugar, para habilitar SSL en el iSeries400, debe instalar uno de los siguientes productos criptográficos:– 5722–AC2– 5722–AC3

Una vez haya instalado uno de estos productos, SSL estará habilitado para todoslos productos que utilicen SSL, incluido el Servidor HTTP.

Mejoras de seguridad para la V4R5v Websphere: IBM WebSphere Application Server es un entorno de aplicaciones de

Java para crear, desplegar y gestionar aplicaciones Web para Internet e intranet.Este completo conjunto de productos se amplía para ajustarse a sus necesidadespara el servidor de aplicaciones Web, abarcando todos los niveles, desde elsencillo al avanzado y al de empresa. Existen algunas consideraciones sobreseguridad que deberá tener en cuenta. Dichas consideraciones se tratan en laspáginas de información sobre el WebSphere Application Server, donde tambiénpuede revisar ejemplos prácticos relacionados con la seguridad para comprendermejor las posibles opciones. El URL eshttp://www.software.ibm.com/webservers/appserv/library.html.

v LDAP:

Los Servicios de Directorio iSeries incluyen las siguientes mejoras y nuevascaracterísticas:– El cliente LADP Windows 95 y Windows NT que se entrega con los Servicios

de Directorio iSeries incluye ahora la Herramienta de gestión de directoriosIBM SecureWay, que proporciona una interfaz gráfica de usuario para trabajarcon el directorio LDAP.

– Ahora se especifican nombres de servidor en el formato más corriente deURL, en lugar de utilizar nombres DNS. Esto incluye la manera en que seespecifican los servidores en los referentes de LDAP, así como las referencias aservidores externos en los archivos LDIF.

– Los archivos LDIF tienen un formato mejorado.– Ahora se utiliza la autenticación de cliente para añadir más seguridad a las

conexiones SSL con el servidor de directorio LDAP.– Ahora se utiliza la autenticación de cliente para añadir más seguridad a las

conexiones SSL con el servidor de directorio LDAP.– Ahora puede utilizar listas de control de accesos (ACL) para otorgar

autorización sobre objetos de directorio a los usuarios que se enlacen alservidor de directorio LDAP con conexiones no anónimas.

– Los Servicios de Directorio iSeries ahora dan soporte a UTC Time y aGeneralized Time. UTC Time utiliza dos dígitos para almacenar el año y noestá considerado como seguro para el año 2000, pero se incluye por razoneshistóricas. Generalized Time utiliza cuatro dígitos para el año y estáconsiderado como seguro para el año 2000.


|||||

||||

||||||

||

dummyid

dummyid

dummyid

dummyid

dummyid

dummyid

– Se ha mejorado el soporte de alias. Los alias ya no tienen que ser nodos hojay pueden combinarse con otras clases de objetos.

Mejoras de la V4R4:

Los Servicios de Directorio iSeries incluyen las siguientes mejoras y nuevascaracterísticas para la V4R4:– Puede ver una lista de los trabajos en ejecución en el servidor.– Puede publicar información del sistema de iSeries 400 en el servidor de

directorios.– Cuando publique información de usuario de iSeries 400 en el servidor de

directorios, los Servicios de Directorio de iSeries exportarán automáticamentelas entradas desde el directorio de distribución del sistema al directorio LDAP

– Ahora los objetos de directorios pueden tener múltiples propietarios y puedenser también sus propios propietarios.

– El plan del servidor de directorios incluye ahora el soporte para atributosenteros y booleanos.

– Puede utilizar un carácter ″*″ para un valor de atributo solicitado.Utilizando el carácter ″*″, puede recuperar todos los atributos no operativos.Esto hace que el recuperar los atributos operativos y los no operativos en unabúsqueda resulte mucho más fácil. Para hacerlo, tendría que listar en labúsqueda los atributos operativos de los que desee información, más elcarácter ″*″.

– Puede utilizar alias con el servidor de directorios.

Se ha añadido un nuevo TPN sin arquitectura al sistema iSeries 400. Para obtenermás información, consulte el apartado “Consejos para los Nombres de programasde transacciones con arquitectura” en la página 127.

Mejoras de seguridad para la V4R4v Red privada virtual (VPN): La VPN nativa en OS/400 le permite proteger de

forma selectiva sus aplicaciones de Protocolo de Control deTransmisión/Protocolo Internet (TCP/IP).

v Soporte adicional de Capa de Sockets Segura (SSL): A partir de la V4R4 puedeutilizar SSL para cifrar las comunicaciones entre clientes Telnet y su servidoriSeries 400. También a partir de la V4R4, todas las funciones de Client AccessExpress excepto MAPI pueden comunicarse por SSL. Client Access Expresspermite las comunicaciones SSL con el servidor iSeries 400 a tres niveles decifrado (40 bits, 56 bits y 128 bits).

v Los programas de estado del sistema y los objetos que adoptan están permitidosal cargar archivos PTF: Se ha añadido un nuevo valor, *ALWPTF , al valor delsistema QALWOBJRST. Cuando especifique este valor, los programas de estadodel sistema y los objetos que adopten autorización tendrán permitida la entradaen el sistema al cargar archivos PTF.

v Las mejoras de los cortafuegos incluyen el soporte de múltiples dominios ymúltiples sistemas de correo

Una novedad de la V4R4, IBM Firewall para iSeries 400, le permite configurarmúltiples dominios de correo tanto en el lado protegido del cortafuegos como enel no protegido. Los múltiples dominios de correo crean divisiones dentro de lared protegida de forma que pueda direccionarse el correo al dominio apropiado.Los múltiples dominios de correo permiten a las empresas direccionar el correoutilizando un único relé para conectarse a uno o varios servidores de correo. Lasempresas que necesiten alias de dominio también se beneficiarán de esta mejora.

Capítulo 1. Mejoras en la seguridad de iSeries 400 5

dummyid

dummyid

dummyid

dummyid

dummyid

Por ejemplo, la empresa xyz.com también puede tener un dominio registradocomo, por ejemplo, xyz.com.uk; con el país como sufijo final del dominio.

Mejoras de seguridad para la V4R3Acceso limitado a las funciones del programa: A partir de la V4R3, puede limitarel número de usuarios que podrán acceder a las funciones de un programa. Lafunción de un programa puede ser una aplicación, partes de una aplicación, odistintas funciones dentro de un programa. Este soporte no sustituye a laseguridad por recursos, sino que es otro método para ayudarle a controlar elacceso a su sistema. Administación de aplicaciones de Operations Navigator:Puede utilizar el soporte de Administración de aplicaciones del OpsNav paragestionar el acceso de los usuarios a las funciones del programa.

Asesor de seguridad iSeries 400e: El Asesor de seguridad es una herramienta,basada en el navegador, que proporciona recomendaciones para la mayoría de losvalores principales del sistema que se utilizan. Si es un nuevo usuario de iSeries400 o su entorno ha cambiado, también puede utilizar el Asesor de seguridadiSeries 400e para generar una lista de recomendaciones que pueda utilizar paraplanificar y crear políticas de seguridad.

Asistente de seguridad iSeries 400: El Asistente de seguridad le ayuda a configurarla seguridad en el iSeries 400 formulando una serie de preguntas sobre su empresa.Tras procesar el asistente las respuestas a las preguntas, se visualizará un panel coninformación sobre la implementación de la seguridad. Puede utilizar el Asistentede seguridad iSeries 400 para configurar:v Valores del sistema y atributos de red relacionados con la seguridadv Generación de informes relacionados con la seguridad para supervisar el sistemav Valores por omisión de los mandatos para crear perfiles de usuario

Mandato Imprimir valores internos de perfil (PRTPRFINT): Puede utilizar elmandato Imprimir valores internos de perfil para imprimir un informe quecontenga información sobre el número de entradas contenidas en un perfil deusuario.

Mandato Imprimir autorización privada (PRTPVTAUT) e Imprimir autorizaciónde uso público (PRTPUBAUT) : Ahora puede utilizar los mandatos PRTPVTAUT yPRTPUBAUT para gestionar autorizaciones para los objetos del sistema de archivosintegrado.

Mandato Restaurar perfil de usuario (RSTUSRPRF): La autorización especial*ALLOBJ ya no se elimina de los perfiles de usuario en algunos casos. Se eliminacuando se restaura un perfil de usuario a un sistema con un nivel de seguridad 30o superior en una de estas situaciones:v El perfil se salvó en un sistema distinto y el usuario que ejecuta RSTUSRPRFF

no tiene las autorizaciones especiales *ALLOBJ y *SECADM.v El perfil se salvó en el mismo sistema con el nivel de seguridad 10 ó 20.

La autorización especial *ALLOBJ no se elimina nunca de estos perfiles de usuariosuministrados por IBM:v QSYS (sistema)v QSECOFR (responsable de seguridad)v QLPAUTO (instalación automática de programa bajo licencia)v QLPINSTALL (instalación de programa bajo licencia)


Filtrado de paquetes de Protocolo Internet (IP): Proporciona la capacidad debloquear el tráfico de IP de forma selectiva, basándose en la información de lascabeceras de los paquetes IP y las específicas del protocolo. Consulte elInformation Center para conocer detalles, bajo el tema Redes (Networking).

Servidor proxy HTTP : El servidor proxy HTTP viene con el Servidor HTTP IBMpara iSeries 400. El servidor proxy recibe las peticiones HTTP de los navegadoresWeb, y las vuelve a enviar a los servidores Web. Consulte el Information Centerpara conocer más detalles.

NAT (conversión de direcciones de red): La Conversión de direcciones de red (NAT)modifica las direcciones IP origen o destino de los paquetes que fluyen por elsistema. Con NAT, podrá utilizar el sistema iSeries 400 como pasarela entre dosredes que posean esquemas de direccionamiento conflictivos o incompatibles.También podrá utilizar NAT para ocultar las direcciones IP reales de una red,sustituyéndolas dinámicamente por otras direcciones distintas. Consulte elInformation Center para conocer más detalles.

VPN en el IBM Firewall para iSeries 400: IBM Firewall para iSeries 400proporciona teconologías de red privada virtual (VPN). Con las VPN se puedencrear conexiones cifradas entre el cortafuegos y muchos otros productoscortafuegos de IBM.

En la V4R3 se introdujo la Conversión de direcciones de red (NAT) para elcortafuegos como nueva característica.

Servidor HTTP para iSeries 400: Ahora se conoce al Internet Connetion Server(ICS) como el Servidor HTTP IBM para iSeries 400. Ya no existe un productoServidor HTTP Seguro por separado. En su lugar, para habilitar SSL en el iSeries400, debe instalar uno de los siguientes productos criptográficos:v 5769–AC1v 5769–AC2v 5769–AC3

Una vez haya instalado uno de estos productos, SSL estará habilitado para todoslos productos que utilicen SSL, incluido HTTP Server.

Mejoras de seguridad para la V4R2Autorizaciones a nivel de columna para archivos de base de datos : A partir de laV4R2 puede especificar autorizaciones para campos específicos en un archivoDB2/400. DB2/400 soporta las autorizaciones a nivel de campo siguientes:

Autorización de actualización:Puede especificar qué usuarios pueden modificar el valor de un campo.

Autorización de referencias:Puede controlar qué usuarios pueden especificar un campo como clavepadre en una restricción referencial.

Puede disponer de la posibilidad de otorgar y revocar la autorización a nivel decampo a través de las sentencias de SQL. Puede utilizar el mandato Visualizarautorización de objeto (DSPOBJAUT) para ver las autorizaciones a nivel de campode un archivo. Para obtener más información sobre las autorizaciones a nivel decampo, consulte la publicación DB2 UDB for iSeries 400 SQL Reference. Puntos desalida TELNET: A partir de la V4R2, hay dos puntos de salida disponibles paraTELNET: inicio de sesión y fin de sesión. Estos puntos de salida proporcionan la


http://publib.boulder.ibm.com/pubs/html/as400/ic2924/info/index.htm

posibilidad de controlar y supervisar el acceso mediante TELNET al sistema. Estosson algunos ejemplos de las posibles acciones que puede llevar a cabo en suprograma de salida TELNET escrito por el usuario:v Aceptar o denegar una petición de sesiónv Asignar a la petición una descripción específica de dispositivo de iSeriesv Asignar un perfil de usuario específico para la sesiónv Anotar cronológicamente las conexiones y desconexiones del sistema a través del

servidor TELNET

El apartado Consejos de seguridad para Telnet de esta publicación y los artículos sobreConfiguración de TCP/IP y consulta del Information Center proporcionan másinformación sobre los nuevos puntos de salida de TELNET. Protocolo punto apunto (PPP): A partir de la V4R2, TCP/IP incluye soporte para PPP. PPPproporciona un mejor rendimiento y unas posibilidades de seguridad mejoradasrespecto a SLIP. Con PPP, la autenticación de los usuarios está estructurada y nodepende de los scripts creados por usuario. El cifrado de los nombres de losusuarios y de las contraseñas está disponible siempre que ambas partes de laconexión lo soporten. PPP también soporta la validación de direcciones IP. Conesto se asegura que un usuario tenga una dirección dentro de un rangoespecificado como protección frente a la suplantación de IP (IP spoofing). PPPtambién proporciona la capacidad de configurar el perfil de conexión pararestablecer periódicamente el reto de protegerse contra la suplantación de sesiones.

El apartado Consideraciones de seguridad para el Protocolo punto a punto de estapublicación y los artículos sobre Configuración de TCP/IP y consulta del InformationCenter proporcionan más información. Puesta de contraseñas en antememoria paraclientes Windows 95 : El clientes Windows 95 para Client Access proporciona laposibilidad de guardar contraseñas en la antememoria de contraseñas de Windows95 (con un recuadro de selección Guardar contraseña en el inicio de sesión).También proporciona la posibilidad de borrar contraseñas de la antememoria (conun botón Borrar contraseñas ). Ello elimina todas las contraseñas de Client Accessde la antememoria de contraseñas Windows 95. Cuando desinstala Client Access,el proceso también borra todas las contraseñas de Client Access de la antememoriade contraseñas de Windows 95. Gestor de certificados digitales : El Gestor decertificados digitales (DCM) registra los certificados de usuario que cree. Tambiénpuede utilizar el DCM para registrar los certificados de usuario que emitan otrasAutoridades certificadoras. DCM asocia automáticamente el certificado registradoal perfil de usuario iSeries 400 del propietario.

Para utilizar certificados digitales debe tener instalados los Programas de Utilidadde Conectividad TCP/IP para iSeries (5769-TC1) y el Servidor HTTP IBM paraiSeries (5769-DG1) en su iSeries. También debe instalar un programa bajo licenciasuministrador de acceso criptográfico (5769-AC1, 5769-AC2 o 5769-AC3) para crearclaves de certificado. Estos productos criptográficos determinan la longitud declave máxima permitida para los algoritmos criptográficos.

El estándar de la industria para los certificados digitales es el formato X.509. Loscertificados que cree en el Gestor de certificados digitales son compatibles con lasversiones 2 y 3 de X.509. Operations Navigator : Proporciona configuraciones deseguridad de usuario y grupo para para facilitar la gestión de seguridad digital alos usuarios de iSeries 400.


Mejoras de seguridad para la V4R1Internet Connection Server En la V4R1, el servidor HTTP TCP/IP se convierte en elInternet Connection Server (ICS). El ICS proporciona tanto funciones mejoradas (através del servidor HTTP) como compatibilidad a través de múltiples plataformasde IBM. También proporciona nuevas posibilidades de seguridad:v Nuevas directivas le permiten solicitar la autenticación (contraseña e ID de

usuario) antes de aceptar las peticiones para algunos o todos los recursos delICS (URL y programas CGI). Puede utilizar perfiles de usuario normales deliSeries o un nuevo objeto de validación de iSeries para proporcionar laautenticación.

v Con las nuevas directivas, también puede intercambiar a un perfil de usuarioiSeries diferente antes de acceder a los recursos del ICS (en lugar de utilizar losperfiles de usuario por omisión que se proporcionan con el servidor).Estaposibilidad le permite, por ejemplo, beneficiarse de la seguridad de los recursosde iSeries cuando atiende a varios sitios Web en el mismo sistema.

El tema Web serving with your IBM HTTP Serverque encontrará en el InformationCenter proporciona más información sobre las consideraciones de seguridad paraeste nuevo servidor.

Internet Connection Secure Server: Con la V4R1, el nuevo Internet ConnectionSecure Server (ICSS) proporciona la posibilidad de establecer una conexión seguraentre el iSeries y un navegador habilitado para SSL. El ICSS utiliza el protocoloSSL (capa de sockets segura) para autenticar servidores y cifrar los datostransmitidos. (Los navegadores Web más utilizados tienen SSL habilitado). El ICSSproporciona la base para el comercio electrónico seguro utilizando un servidoriSeries

El tema Web serving with your IBM HTTP Serverque encontrará en el InformationCenter proporciona más información sobre las consideraciones de seguridad paraeste nuevo servidor.

Firewall para iSeries 400: El IBM Firewall para iSeries 400 (5769–FW1) es unproducto software que habilita al Integrated Netfinity Server para iSeries 400 en eliSeries para que realice las funciones de un cortafuegos. El cortafuegos separa lared interna (protegida) de una red externa (no protegida) (generalmente Internet).Puede ejecutar el IBM Firewall para iSeries 400 en su sistema iSeries de producción(para proteger tanto su sistema de producción como otros sistemas conectados).Para obtener la máxima protección de seguridad, por lo general deberá utilizar unsistema iSeries dedicado y separado como servidor Internet. También puede elegirejecutar el cortafuegos en un sistema iSeries multiuso que ejecute las aplicacionesde producción y que proporcione servicios de Internet. No obstante, el éxito deesta implementación depende en gran medida tanto del diseño de la aplicacióncomo de la meticulosidad de sus normas de configuración.

El IBM Firewall para iSeries 400 proporciona las siguientes posibilidades:v El filtro de paquetes ofrece soporte para TCP, UDP e ICMP. El filtro dinámico de

paquetes ofrece soporte para RealAudio (Redes progresivas).v Un servidor de nombres de dominio.v Servidores proxy para aplicaciones comunes, tales como HTTP, TELNET y FTP.v Un servidor socks independiente de la aplicación.v Un servidor de correo.v Supervisión y registro extensivos.


dummyid

dummyid

v Administración a través de un navegador Web.

Para el administrador del sistema, el IBM Firewall para iSeries 400 proporciona laventaja de utilizar tecnología y un entorno ya conocido. Proporciona un métodoeconómico para proteger la red interna al conectar con otras redes externas noprotegidas. Technical Studio proporciona información completa sobre cómoconfigurar el cortafuegos y cómo utilizar sus posibilidades. El sitio Web delFirewall para iSeries 400 proporciona información actual, consejos, y respuestas alas preguntas más frecuentes. Visite el sitio Web en el URL siguiente:http://www.as400.ibm.com/firewall

Net.Commerce para iSeries: El Internet Connection Server y el Internet ConnectionSecure Server proporciona las bases para el comercio electrónico en el iSeries. Dosprogramas bajo licencia facilitan las herramientas para desarrollar un centrocomercial de funciones completas en su sitio Web.v IBM Net.Commerce para iSeries (5798-NC2) proporciona herramientas para

diseñar y administrar su sitio Web. Puede crear y mantener catálogos deproductos y utilizar una metáfora de cesta de la compra para los visitantes de susitio Web.

Para obtener la información más actualizada acerca de las ofertas de correoelectrónico de IBM, visite el sitio Web siguiente:http://www.internet.ibm.com/commercepoint/net.commerce/

Puntos de salida TCP/IP: A partir de la V4R1, más aplicaciones TCP/IP utilizanlos puntos de salida que anteriormente sólo estaban disponibles para el servidorFTP. Ahora puede utilizar programas de salida para controlar la actividad de losservidores REXEC y TFTP.

Para obtener más información sobre los Programas de salida del Protocolo deConfiguración Dinámica de Sistema Principal, consulte ese tema en el InformationCenter. El artículo “TCP/IP User Exits” de esta publicación proporciona másinformación sobre cómo utilizar los puntos de salida FTP.


http://ictest2/pubs/html/as400/v4r5/ic2924/info/apis/ss2.htm

http://ictest2/pubs/html/as400/v4r5/ic2924/info/apis/ss2.htm

Parte 2. Consejos para la seguridad básica del sistemaiSeries 400La curiosidad es una de las características permanentes yciertas de una mente inquieta.

Cuando nos paramos a pensar, solemos perder nuestraoportunidad.

Samuel Johnson: The Rambler Publilius Syrus: Máxima 185

RV3M1203-0


Capítulo 2. Elementos básicos de la seguridad de iSeries

Este tema proporciona una breve revisión de los elementos básicos que trabajanconjuntamente para proporcionar seguridad en iSeries. En otras secciones de estapublicación se va más allá de lo básico para proporcionarle consejos para utilizaresos elementos de seguridad de forma que satisfagan las necesidades de suorganización.

Niveles de seguridadPuede elegir la seguridad que desea que tenga el sistema estableciendo el valor delsistema de nivel de seguridad (QSECURITY). El sistema ofrece cinco niveles deseguridad:

Nivel 10:El sistema no tiene seguridad de ningún tipo. No se precisan contraseñas.Si el perfil de usuario especificado no existe en el sistema cuando se iniciauna sesión, el sistema crea uno nuevo.

ATENCIÓN:

A partir de la V4R3 y en futuros releases, no podrá establecerel valor del sistema QSECURITY en 10. Si su sistema tieneactualmente un nivel de seguridad 10, seguirá teniendo elnivel 10 cuando instale la Versión 4 Release 3. Si cambia elnivel de seguridad por otro valor, no podrá regresar al nivel10. Dado que el nivel 10 no proporciona protección deseguridad, IBM no recomienda el nivel de seguridad 10. IBMno proporcionará soporte para los problemas que seproduzcan con un nivel de seguridad 10, a menos quedicho problema también pueda aparecer con un nivel deseguridad más alto.

Nivel 20:El sistema precisa un ID de usuario y una contraseña para el inicio de lasesión. Este nivel también recibe el nombre de seguridad de inicio desesión.Por omisión, todos los usuarios tienen acceso a todos los objetos, yaque poseen la autorización especial *ALLOBJ.

Nivel 30:El sistema precisa un ID de usuario y una contraseña para el inicio de lasesión. Los usuarios deben tener autorización para la utilización de losobjetos, ya que no tienen ninguna autorización por omisión. Esto tambiénse conoce como seguridad de recursos.

Nivel 40:El sistema precisa un ID de usuario y una contraseña para el inicio de lasesión. Además de la seguridad de recursos, el sistema proporcionafunciones de protección de integridad. Estas funciones están dirigidas aproteger el sistema y los objetos del mismo contra una mala utilización porparte de los usuarios experimentados. En la mayoría de las instalaciones, elnivel 40 es el nivel de seguridad recomendable. Cuando se recibe unsistema iSeries nuevo con el release V3R7 o posterior, el nivel de seguridadestá establecido en 40.


Nivel 50:El sistema precisa un ID de usuario y una contraseña para el inicio de lasesión. El sistema impone tanto la seguridad por recursos como laprotección de integridad del nivel 40, pero añade protección de integridadmejorada, como lo siguiente:v Validación de parámetros para las interfaces con el sistema operativo.v Restricción del manejo de mensajes entre los programas de estado del

sistema y los programas de estado de los usuarios.

El nivel de seguridad 50 está pensado para los sistemas iSeries con altosrequisitos de seguridad.

Nota: El nivel 50 es el nivel necesario para la certificación de C2 (y para lacertificación de FIPS-140). Para obtener más información, revise lapublicación Security–Enabling for C2.

El capítulo 2 de la publicación iSeries Security Reference proporciona másinformación sobre los niveles de seguridad y describe cómo ir de un nivel deseguridad a otro.

Valores globalesSu sistema tiene valores globales que afectan a la manera en que su trabajo entraen el sistema y cómo aparece el sistema ante los demás usuarios del sistema. Estosvalores incluyen lo siguiente:

Valores del sistema:Los valores del sistema se utilizan para controlar la seguridad en elsistema. Estos valores se dividen en cuatro grupos:v Valores del sistema de seguridad generalv Otros valores del sistema relacionados con la seguridadv Valores del sistema que controlan contraseñasv Valores del sistema que controlan auditorías

Varios temas de esta publicación tratan de las implicaciones de seguridadde ciertos valores del sistema. El capítulo 3 de la publicación iSeriesSecurity Reference describe todos los valores del sistema importantes para laseguridad.

Atributos de red:Los atributos de red controlan el modo en que el sistema participa (odecide no participar) en una red con otros sistemas. Puede obtener másinformación acerca de los atributos de red leyendo la publicación .

Descripciones de subsistema y otros elementos de gestión de trabajo:Los elementos de gestión de trabajo determinan la manera en que eltrabajo entra en el sistema y el entorno en el que el trabajo se lleva a cabo.Varios temas de esta publicación tratan de las implicaciones de seguridadde ciertos valores de la gestión de trabajo. El manual proporcionainformación completa.

Configuración de comunicaciones:La configuración de las comunicaciones también afecta a la manera en queel trabajo entra en el sistema. Varios temas de esta publicaciónproporcionan sugerencias para proteger el sistema cuando forma parte deuna red.


Perfiles de usuarioCada usuario del sistema debe tener un perfil de usuario. En el nivel de seguridad10 (que no se soporta a partir de la V4R3), el sistema crea automáticamente unperfil la primera vez que un usuario inicia una sesión. En los niveles de seguridadsuperiores, es necesario crear perfiles de usuario para que los usuarios puedanconectarse.

Los perfiles de usuario también pueden utilizarse para controlar el acceso aherramientas de servicio tales como DASD y vuelcos del almacenamiento principal.Vea “Gestión de herramientas de servicio” en la página 84 para obtener másinformación.

El perfil de usuario es una herramienta potente y flexible. Controla las accionesque el usuario puede llevar a cabo y personaliza la manera en que el usuario ve elsistema. La publicación iSeries Security Reference describe todos los parámetros delperfil de usuario.

Perfiles de grupoUn perfil de grupo es un tipo especial de perfil de usuario. Puede utilizarlo paradefinir la autorización de un grupo de usuarios, en lugar de dar autorización acada usuario de uno en uno. También puede utilizar un perfil de grupo comopatrón al crear perfiles de usuario individuales utilizando la función copiar perfil,o bien, si utiliza Operations Navigator, puede utilizar el menú Políticas deseguridad para editar las autorizaciones de usuario.

El capítulo 5 y el capítulo 7 del manual iSeries Security Reference proporcionaninformación acerca de la planificación y la utilización de perfiles de grupo.

Seguridad por recursosLa seguridad por recursos en el sistema le permite indicar quién puede utilizar losobjetos y de qué manera. La posibilidad de acceder a un objeto recibe el nombrede autorización. Al establecer la autorización sobre objetos, puede resultarnecesario ir con cuidado para otorgar a los usuarios suficiente autorización pararealizar su trabajo, pero sin otorgarles autorización para examinar y modificar elsistema. La autorización sobre objetos otorga permisos al usuario para un objetoespecífico y puede especificar lo que se permite al usuario hacer con el objeto. Unrecurso de objeto puede limitarse mediante autorizaciones de usuario específicasdetalladas, por ejemplo añadir registro o modificar registros. Pueden utilizarserecursos del sistema para otorgar al usuario acceso subconjuntos de autorizacionesespecíficas definidas por el sistema: *ALL, *CHANGE, *USE y *EXCLUDE.

Los archivos, programas, bibliotecas y directorios son los objetos del sistema máscorrientes que requieren protección de seguridad por recursos, pero puedeespecificar autorización para cualquier objeto individual del sistema.

En el Capítulo 6. Utilización de la autorización sobre objetos para proteger lainformación, se trata la importancia de trabajar con la autorización sobre objetos enel sistema. El capítulo 5 del manual iSeries Security Reference describe las opcionespara la puesta a punto de la seguridad de los recursos.

Capítulo 2. Elementos básicos de la seguridad de iSeries 15

||||

||||

Acceso limitado a las funciones del programaEl acceso limitado a las funciones del programa le permite proporcionar seguridadpara el programa cuando no se tiene un objeto iSeries 400 a proteger para elprograma. Antes de añadirse el soporte para el acceso limitado a las funciones delprograma a la V4R3, podía conseguir el mismo resultado creando una lista deautorizaciones u otro objeto y comparando la autorización con el objeto paracontrolar el acceso a la función del programa. Ahora puede utilizar el accesolimitado a las funciones del programa para tener un control más fácil del acceso auna aplicación, a partes de una aplicación o a las funciones de un programa.

Existen dos métodos que puede utilizar para gestionar el acceso de los usuarios afunciones de aplicaciones mediante el Operations Navigator. El primero utiliza elsoporte de Administración de las aplicaciones:1. Pulse con el botón de la derecha en el iSeries que está ejecutando la aplicación.2. Pulse Administración de las aplicaciones. Se abrirá una ventana que contiene

listas de las funciones registradas para el Operations Navigator, aplicaciones desistema principal y aplicaciones de cliente (vea la Figura 1 en la página 17).

3. Desde la ventana Administración de las aplicaciones, cambie el valor de usopor omisión y el indicador de permitir *ALLOBJ como lo desee. El valor poromisión para las autorizaciones de aplicaciones es *ALLOBJ. Si deseapersonalizar el acceso a los programas de aplicación, puede especificar quéprogramas tienen autorización. Puede hacerlo pulsando en las opciones deautorización que aparezcan en la pantalla. Se implementará entonces la nuevaconfiguración.

Nota: Cuando una función tiene una lista de usuarios a los que se ha otorgadoo denegado el acceso a la función, la columna Uso personalizadocontiene una X.

4. Resalte una función para habilitar el botón Personalizar.5. Pulse el botón Personalizar para visualizar el recuadro de diálogo Personalizar

uso.6. En del recuadro de diálogo Personalizar uso, modifique la lista de usuarios y

grupos a los que se ha permitido o denegado el acceso a la función.


El segundo método para gestionar el acceso de los usuarios implica el soporte paraUsuarios y Grupos del Operations Navigator:1. Acceda a la ventana Propiedades para un usuario o grupo.2. Pulse el botón Posibilidades.3. Elija la pestaña Aplicaciones. Se visualizará una lista de las funciones

registradas y el acceso (o uso) que el usuario o grupo tiene para cada función.La columna Uso derivado de muestra de dónde proviene el acceso.

4. En la ventana Posibilidades, modifique los valores del usuario para lasfunciones listadas. Desde este ventana también puede hacer lo siguiente:v Cambiar los valores para todas las funciones de un grupo jerárquico,

modificando el valor de la función ″padre″.v Gestionar el acceso a las funciones utilizando perfiles de grupo.

Vea “Seguridad y Operations Navigator” en la página 225 para obtener másinformación sobre los temas de seguridad del Operations Navigator.

Si se dedica a escribir aplicaciones, puede utilizar las API del acceso limitado a lasfunciones del programa para efectuar lo siguiente:v Registrar una funciónv Recuperar información acerca de la funciónv Definir quién puede utilizar la función y quién nov Comprobar si al usuario se le permite utilizar la función

Figura 1. Administración de aplicaciones


Nota: Este soporte no sustituye la seguridad por recursos. El acceso limitado a lasfunciones del programa no evita que un usuario acceda a un recurso (comoun archivo o programa) desde otra interfaz.

Para utilizar este soporte dentro de una aplicación, el suministrador de laaplicación deberá registrar las funciones cuando se instale la aplicación. La funciónregistrada se corresponde con un bloque de código dentro de la aplicación, quecontiene funciones específicas. Cuando el usuario ejecuta la aplicación, laaplicación llama a la API antes de llamar al bloque de código. La API llama a laAPI de comprobación de uso para saber si al usuario se le permite utilizar lafunción. Si se le permite el uso de la función registrada, se ejecuta el bloque decódigo. Si no se le permite el uso de la función, se niega al usuario la ejecución delbloque de código.

Nota: Las API implican el registro de un ID de función de 20 caracteres en la basede datos de registro (WRKREGINF). Aunque no hay puntos de salidarelacionados con los ID de función utilizados por las API de acceso limitadoa las funciones, es necesario tener puntos de salida. Para poder registraralgo en el registro, debe proporcionar un nombre con formato de punto desalida. Para hacerlo, la API ″crear nuevo ID de FUNCION″ crea un nombreficticio y lo utiliza para todos los ″ID de FUNCION″ que se registren. Dadoque se trata de un nombre con formato ficticio, no se llama a ningúnprograma de punto de salida.

El administrador del sistema especifica quién tiene acceso permitido a una función.El administrador puede utilizar la API para gestionar el acceso a las funciones delprograma, o bien utilizar la GUI de la Administración de aplicaciones delOperations Navigator. La publicación iSeries 400 System API Reference proporcionainformación sobre las API de acceso limitado a las funciones del programa. Paraobtener información adicional sobre el control del acceso a funciones, vea“Seguridad y Operations Navigator” en la página 225.

Auditoría de la seguridadLos motivos para realizar una auditoría de la seguridad del sistema pueden serdiversos:v Para evaluar si el plan de seguridad es completo.v Para asegurarse de que los controles de seguridad planificados están en

funcionamiento. Este tipo de auditoría suele realizarla el responsable deseguridad como parte de la administración diaria de la seguridad. También selleva a cabo, a veces más detalladamente, como parte de una revisión periódicade la seguridad por parte de auditores internos o externos.

v Para asegurarse de que la seguridad del sistema sigue el ritmo de los cambiosque se realizan en el entorno del sistema. Estos son algunos ejemplos de loscambios que afectan a la seguridad:– Objetos nuevos creados por usuarios del sistema– Usuarios nuevos admitidos en el sistema– Cambio de la propiedad de objetos (autorización no ajustada)– Cambio de responsibilidades (grupo de usuarios modificado)– Autorización temporal (no revocada a tiempo)– Instalación de nuevos productos


v Para prepararse para un evento futuro como, por ejemplo, instalar una nuevaaplicación, ir a un nivel de seguridad superior o configurar una red decomunicaciones.

Las técnicas descritas aquí son apropiadas para todas esas situaciones. Loselementos para los que realice la auditoría y la frecuencia con que lo hagadependerán del tamaño y de las necesidades de seguridad de su organización.

La auditoría de seguridad implica el uso de mandatos en el sistema iSeries y elacceso a información de anotaciones y diarios en el sistema. Puede interesarle crearun perfil especial para que lo utilice quien tenga que realizar una auditoría deseguridad de su sistema. El perfil del auditor necesitará la autorización especial*AUDIT para poder modificar las características de auditoría de su sistema.Algunas de las tareas de auditoría sugeridas en este capítulo requieren un perfil deusuario con la autorización especial *ALLOBJ y *SECADM. Asegúrese de establecerla contraseña para el perfil de auditor como *NONE al finalizar el periodo deauditoría.

Para obtener más detalles sobre la auditoría de seguridad vea el capítulo 9 de lapublicación Seguridad, Manual de consulta.

Informe de atributos de seguridad del sistema – ejemploLa Figura 2 muestra un ejemplo de la salida del mandato Imprimir atributos deseguridad del sistema (PRTSYSSECA). El informe muestra la configuración de losvalores del sistema y los atributos de red relativos a seguridad que se recomiendanpara los sistemas con necesidades de seguridad normales. También muestra losvalores actuales del sistema.

Nota: La columna Valor actual del informe muestra el valor actual del sistema.Compárelo con el valor recomendado para ver dónde puede haber riesgosde seguridad.

Atributos de seguridad del sistema

Nombre de valordel sistema Valor actual Valor recomendadoQALWOBJRST *NONE *NONEQALWUSRDMN *ALL QTEMPQATNPGM QEZMAIN QSYS *NONEQAUDENDACN *NOTIFY *NOTIFYQAUDFRCLVL *SYS *SYSQAUDCTL *AUDLVL *AUDLVL *OBJAUDQAUDLVL *SECURITY *AUTFAIL *CREATE

*DELETE *SECURITY*SAVRST *NOQTEMP

Figura 2. Informe de atributos de seguridad del sistema - Ejemplo (Pieza 1 de 4)


QAUTOCFG 0 0QAUTOVRT 9999 0QCMNRCYLMT 0 0 0 0QCRTAUT *CHANGE Control a nivel de biblioteca.QCRTOBJAUD *NONE Control a nivel de biblioteca.QDEVRCYACN *DSCMSG *DSCMSGQDSCJOBITV 120 120QDSPSGNINF 1 1QINACTITV 60 60QINACTMSGQ *ENDJOB *ENDJOBQLMTDEVSSN 0 1QLMTSECOFR 0 1QMAXSGNACN 2 3QMAXSIGN 3 3


QPWDEXPITV 60 60QPWDLMTAJC 1 1QPWDLMTCHR *NONE AEIOU@$#QPWDLMTREP 1 2QPWDMAXLEN 8 8QPWDMINLEN 6 6QPWDPOSDIF 1 1QPWDRQDDGT 1 1QPWDRQDDIF 0 1QPWDVLDPGM *NONE *NONEQRETSVRSEC 0 0QRMTIPL 0 0QRMTSIGN *FRCSIGNON *FRCSIGNONQSECURITY 50 50QSRVDMP *DMPUSRJOB *NONE


Atributos de seguridad del sistema

Nombre deatributo de red Valor actual Valor recomendadoDDMACC *OBJAUT *REJECTJOBACN *FILE *REJECTPCSACC *OBJAUT *REJECT



Capítulo 3. Asistente de seguridad y Asesor de seguridadiSeries 400

Las herramientas Asistente de seguridad y Asesor de seguridad iSeries 400 puedenayudarle a decidir qué valores de seguridad debe poner en vigor en su sistemaiSeries. Utilizando el Asistente de seguridad iSeries en Operations Navigatorgenerará informes que mostrarán sus necesidades de seguridad según lasrespuestas seleccionadas, lo que puede utilizar para configurar la seguridad delsistema.

El Asesor de seguridad es la versión en línea del Asistente de seguridad. Estáubicado en el Technical Studio y le permite seleccionar opciones basándose en susnecesidades de seguridad, generando un informe que sugiere las característicasnecesarias para asegurar su sitio.

Asistente de seguridad iSeries 400La decisión sobre qué valores de seguridad del sistema iSeries debería utilizar parasu empresa puede ser muy compleja. Si no está familiarizado con el iSeries ni conla implementación de la seguridad en los servidores iSeries, o bien el entorno en elque ejecuta el iSeries ha cambiado recientemente, el Asistente de seguridad iSeries400 puede ayudarle a tomar decisiones.

¿Qué es un Asistente?v Un asistente es una herramienta diseñada para que la utilice un usuario

inexperto para instalar o configurar algún elemento en un sistema.v El asistente solicita información al usuario formulando preguntas. La respuesta a

cada pregunta determina qué pregunta se formula a continuación.v Cuando el asistente ha realizado todas las preguntas, se presenta al usuario un

diálogo de finalización. El usuario pulsará entonces el botón Finalizar parainstalar y configurar el elemento.

Finalidades del Asistente de seguridad

La finalidad del Asistente de seguridad iSeries 400 es configurar lo siguiente,basándose en las respuestas de un usuario.v Valores del sistema y atributos de red relacionados con la seguridadv Informes para supervisión del sistema relacionados con la seguridad.v El asistente genera un Informe de información para el administrador y un

Informe de información para el usuario:– El Informe de información para el administrador contiene los valores de

seguridad recomendados y los procedimientos que deberán seguirse antes deponer en vigor dichas recomendaciones.

– El Informe de información para el usuario contiene información que puedeutilizarse para la política de seguridad de la empresa. Por ejemplo, en esteinforme se incluyen las normas para componer contraseñas.

v El asistente proporciona valores recomendados para los diversos elementos delsistema relacionados con la seguridad.Objetivos del Asistente de seguridad

v Los objetivos del Asistente de seguridad son:


|||||

|||

|

– Determinar cuáles deben ser los valores de la seguridad del sistema,basándose en las respuestas de los usuarios a las preguntas del asistente y, acontinuación, implementar dichos valores cuando sea conveniente.

– El asistente genera informes de información detallada que incluyen losiguiente.- Informe que explica las recomendaciones del Asistente.- Informe que detalla los procedimientos que deberán seguirse antes de la

implementación.- Informe que lista información importante que debe distribuirse a los

usuarios del sistema.v Estos elementos ponen en vigor en el sistema la política de seguridad básica.v El asistente recomienda informes de diario de auditoría que deberá planificar

para que se ejecuten periódicamente. Una vez planificados, estos informesayudan a lo siguiente:– Asegurar que se siguen las políticas de seguridad.– Asegurar que las políticas de seguridad sólo se modifican con su aprobación.– Planificar informes para supervisar los eventos del sistema relacionados con

la seguridad.v El asistente le pertmite guardar las recomendaciones o aplicarlas todas o parte

de ellas al sistema.

Nota: El Asistente de seguridad puede utilizarse más de una vez en el mismosistema para permitir a los usuarios que tengan una instalación más antiguarevisar su seguridad actual. El Asistente de seguridad puede utilizarse en lossistemas de la V3R7 (cuando apareció el Operations Navigator) yposteriores.

Para acceder al Asistente de seguridad, haga lo siguiente:1. Efectúe una doble pulsación en el icono Operations Navigator para abrir el

Operations Navigator.

Nota: Para poder utilizar el Operations Navigator de iSeries deberá tenerinstalado Client Access en su PC Windows 95/NT y tener una conexióniSeries con dicho PC. El usuario del Asistente debe estar conectado a uniSeries. El usuario debe tener un ID de usuario que tenga lasautorizaciones especiales *ALLOBJ, *SECADM, *AUDIT y *IOSYSCFG.Para obtener ayuda sobre la conexión del PC Windows 95/NT al sistemaiSeries, consulte el tema Client Access Express en el Information Center(vea “Requisitos e información relacionada” en la página xii para obtenerdetalles).

2. Expanda la carpeta Seguridad y seleccione Configurar la seguridad delservidor para iniciar el Asistente de seguridad.v Cuando un usuario inicia la opción Seguridad del Operations Navigator, se

envía una petición al iSeries para comprobar la autorización especial delusuario.

v Si el usuario no tuviera todas las autorizaciones especiales necesarias(*ALLOBJ, *AUDIT, *IOSYSCFG, *SECADM), no podrá ver la opciónConfigurar y no podrá acceder al Asistente de seguridad.

3. Suponiendo que el usuario tenga la autorización necesaria:v Se recuperan las respuestas anteriores del asistente.v Se recuperan los valores de seguridad actuales.

El Asistente de seguridad le presentará una de tres pantallas de bienvenida. Lapantalla que vea dependerá de cuál de estas condiciones se cumpla:


||||||||||

|||||

|||||||||

||||||||

|||

v No se ha ejecutado nunca el asistente para el iSeries destino.v El asistente se ha ejecutado antes y los cambios en la seguridad se han diferido.v El asistente se ha ejecutado antes y los cambios en la seguridad entraron en

vigor.

Si no está utilizando el Operations Navigator, igualmente puede obtener ayudapara planificar las necesidades de seguridad. El Asesor de seguridad es unaversión en línea del Asistente de seguridad, con una diferencia. El asesor noconfigurará el sistema automáticamente. Sin embargo, generará un informe sobrelas opciones de seguridad recomendadas basándose en sus respuestas. Paraacceder al Asesor de seguridad lleve su navegador de Internet al siguiente URL:http://www.as400.ibm.com/tstudio/secure1/index_av.htm

El Asesor de seguridad forma parte de iSeries 400 Technical Studio.

Asesor de seguridad iSeries 400El Asesor de seguridad es una versión en línea del Asistente de seguridad.Formula las mismas preguntas que el Asistente de seguridad y, según susrespuestas, genera las mismas recomendaciones. Las diferencias principales entreambas herramientas son:v El Asesor de seguridad no hace lo siguiente—

– Generar informes.– Comparar los valores actuales con los valores recomendados.– Establecer cualquier valor del sistema automáticamente.

v No puede aplicar recomendaciones desde el Asesor de seguridad.

El Asesor de seguridad genera un programa CL en el que puede cortar y pegar yeditar para su propio uso, con el fin de automatizar la configuración de laseguridad. También puede enlazar directamente con la documentación de iSeries400 desde el Asesor de seguridad. Esta documentación proporciona informaciónacerca del valor del sistema o informe que le ayudará a determinar si dicho valores el apropiado para su entorno.

Para acceder al Asesor de seguridad lleve su navegador de Internet al siguienteURL:http://www.as400.ibm.com/tstudio/secure1/index_av.htm

El Asesor de seguridad forma parte de iSeries Technical Studio. Este sitio Web darespuesta a muchas de las preguntas sobre seguridad y ofrece información puntualsobre talleres, clases y otros recursos. El URL para la dirección de Technical Studioes:http://www.as400.ibm.com/techstudio

El URL para la sección de Seguridad iSeries de Technical Studio es:http://www.AS400.ibm.com/tstudio/secure1/secdex.htm

Capítulo 3. Asistente de seguridad y Asesor de seguridad iSeries 400 23

http://www.as400.ibm.com/tstudio/secure1/index_av.htm

http://www.as400.ibm.com/tstudio/secure1/index_av.htm

http://www.as400.ibm.com/techstudio

http://www.AS400.ibm.com/tstudio/secure1/secdex.htm

Capítulo 4. Consejos para controlar el inicio de sesióninteractivo

Cuando se plantee restringir la entrada al sistema, comience con lo más obvio: lapantalla Inicio de sesión. A continuación se enumeran las opciones que puedeutilizar para dificultar a extraños la entrada y posible conexión a su sistemautilizando la pantalla Inicio de sesión.v Definición de normas para las contraseñas.v Modificación de las contraseñas conocidas.v Definición de normas para el inicio de sesión.

Definición de las normas para las contraseñasPara proteger la entrada al sistema, efectúe lo siguiente:v Adopte una política que establezca que las contraseñas no deben ser obvias y

que no se deben compartir.v Establezca valores del sistema para facilitar su aplicación. En la Tabla 1 se

muestran los valores del sistema recomendados.

La combinación de valores en la Tabla 1 es muy restrictiva y está pensada parareducir de forma significativa la posibilidad de que haya contraseñas fácilmentededucibles. Sin embargo, los usuarios pueden encontrar difícil y frustrante elseleccionar una contraseña que cumpla estas restricciones.

Considere la posibilidad de proporcionar a los usuarios lo siguiente:1. Una lista de los criterios para las contraseñas.2. Ejemplos de contraseñas válidas y no válidas.3. Sugerencias para escoger una contraseña adecuada.

Puede ejecutar el mandato Configurar seguridad del sistema (CFGSYSSEC) parafijar estos valores. Puede utilizar el mandato Imprimir atributos de seguridad delsistema (PRTSYSSECA) para imprimir la definición actual de estos valores delsistema.

Puede leer más acerca de estos valores del sistema en el Capítulo 3 de lapublicación iSeries Security Reference. El apartado “Valores establecidos por elmandato Configurar seguridad del sistema” en la página 53 proporciona másinformación sobre el mandato CFGSYSSEC.

Tabla 1. Valores del sistema para las contraseñasNombre de valor delsistema Descripción Valor recomendado

QPWDEXPITV Frecuencia con la que los usuarios del sistema debencambiar las contraseñas. Puede especificar un valordistinto para cada usuario en el perfil de usuario.

60 (días)

QPWDLMTAJC Indica si el sistema impedirá que haya caracteresadyacentes iguales.

1 (sí)

QPWDLMTCHR Caracteres que no pueden utilizarse en las contraseñas. 2 AEIOU#$@QPWDLMTREP Indica si el sistema impedirá que aparezca el mismo

carácter más de una vez en la contraseña.2 (no se permiten deforma consecutiva)

QPWDLVL Indica si las contraseñas de perfil de usuario estánlimitadas a 10 caracteres o a un máximo de 128.

03


|||

Tabla 1. Valores del sistema para las contraseñas (continuación)Nombre de valor delsistema Descripción Valor recomendado

QPWDMAXLEN Número máximo de caracteres de una contraseña. 8QPWDMINLEN El número mínimo de caracteres de que debe constar una

contraseña.6

QPWDPOSDIF Indica si todos los caracteres de una contraseña deben serdistintos del carácter que ocupaba la misma posición en lacontraseña anterior.

1 (sí)

QPWDRQDDGT Indica si la contraseña debe tener un carácter numéricocomo mínimo.

1 (sí)

QPWDRQDDIF Tiempo que debe esperar un usuario para poder volver autilizar la misma contraseña.2

5 o menos (intervalos decaducidad)1

QPWDVLDPGM Indica a qué programa de salida se llama para validar unacontraseña recién asignada.

*NONE

Notas:

1. El valor del sistema QPWDEXPITV especifica la frecuencia con la que debe cambiarse la contraseña (porejemplo, cada 60 días). Recibe el nombre de intervalo de caducidad. El valor del sistema QPWDRQDDIFespecifica los intervalos de caducidad que deben pasar para que se pueda volver a utilizar la contraseña. En elCapítulo 3 de la publicación iSeries Security Reference se proporciona más información acerca del funcionamientoconjunto de estos valores del sistema.

2. QPWDLMTCHR no se impone en los niveles de contraseña 2 ó 3. Vea “Niveles de contraseña” para conocer másdetalles.

3. Consulte “Planificación de cambios de nivel de contraseña” en la página 27 para determinar el nivel decontraseña adecuado a sus necesidades.

Niveles de contraseñaLa V5R1 ofrece una mayor seguridad en las contraseñas mediante el valor delsistema QPWDLVL. En los releases anteriores, los usuarios estaban limitados acontraseñas de un máximo de 10 caracteres y con un rango de caracteres limitado.Ahora los usuarios pueden seleccionar una contraseña (o frase de paso) con unmáximo de 128 caracteres, dependiendo del nivel de contraseña en el que estéestablecido el sistema. Los niveles de contraseña soportados por la V5R1 son:v Nivel 0: Los sistemas de la V5R1 se envían con este nivel. En el nivel 0, las

contraseñas no tienen más de 10 caracteres de longitud y contienen solamentelos caraceteres A-Z, 0–9, #, @, $, y _ . Las contraseñas del nivel 0 son menosseguras que las de los niveles de contraseña superiores.

v Nivel 1: Las mismas normas que en el nivel de contraseña 0, pero no se guardanlas contraseñas para iSeries NetServer.

v Nivel 2: Las contraseñas de este nivel son seguras y este nivel puede utilizarsepara pruebas. Las contraseñas se salvan para un usuario en el nivel 0 ó 1 si sonde 10 caracteres o menos y el juego de caracteres de nivel 0 ó 1. Las contraseñas(o frases de paso) de este nivel tienen las siguientes características:– un máximo de 128 caracteres de longitud.– se componen de cualquier carácter disponible en el teclado.– no pueden constar completamente de blancos; los blancos se eliminan del

final de la contraseña.– son sensibles a mayúsculas y minúsculas.


||

||

|

||||||

||||

||

||||

|

|

||

|

v Nivel 3: Las contraseñas de este nivel son las más seguras y utilizan losalgoritmos de cifrado más avanzados disponibles. Las contraseñas de este niveltienen las mismas características que en el nivel 2. Las contraseñas para iSeriesNetServer no se guardan en este nivel.

Los niveles de contraseña 2 y 3 solamente deberán utilizarse si todos los sistemasde una red utilizan la V5R1 y el nivel de contraseña 2 ó 3. Si un solo sistema de lared no está utilizando la V5R1, los niveles de contraseña 2 y 3 no estarándisponibles para todos los usuarios.

De forma similar, todos los usuarios deben conectarse utilizando el mismo nivel decontraseña. Los niveles de contraseña son globales; los usuarios no pueden elegirel nivel en el que les gustaría proteger su contraseña.

Planificación de cambios de nivel de contraseñaEl cambio de niveles de contraseña debe planificarse cuidadosamente. Es posibleque las operaciones que se efectúen con otros sistemas fallen o que los usuarios nopuedan iniciar la sesión en el sistema si no ha planificado el cambio de nivel decontraseña correctamente. Antes de modificar el valor del sistema QPWDLVL,asegúrese de que ha salvado los datos de seguridad utilizando el mandatoSAVSECDTA o SAVSYS. Si tiene una copia de seguridad actualizada, podrárestablecer las contraseñas para todos los perfiles de usuario si resulta necesariovolver a un nivel de contraseña inferior.

Los productos que utilice en el sistema y en los clientes con los que el sistemaintercambie información podrían tener problemas cuando el valor del sistema denivel de contraseña (QPWDLVL) esté establecido en 2 ó 3. Cualquier producto ocliente que envíe contraseñas al sistema en formato cifrado, en lugar de en el textoclaro que un usuario entra en una pantalla de inicio de sesión, deberá actualizarsepara trabajar con las nuevas normas de cifrado de contraseñas para QPWDLVL 2 ó3. El envío de contraseñas cifradas se denomina sustitución de contraseña. Lasustitución de contraseña se utiliza para evitar que se capture una contraseñadurante la transmisión por una red. No se aceptarán las sustituciones decontraseñas generadas por clientes antiguos que no soporten el nuevo algoritmopara QPWDLVL 2 ó 3, incluso si los caracteres específicos tecleados son correctos.Esto también es aplicable al acceso de cualquier iSeries a otro iSeries igual queutilice los valores cifrados para realizar autenticación de un sistema a otro.

El problema se agrava por el hecho de que algunos de los productos afectados (esdecir, Java Toolbox) se proporcionan como middleware. Un producto de tercerosque incorpore una versión anterior de uno de estos productos no funcionarácorrectamente hasta que se reconstruya utilizando una versión actualizada delmiddleware.

Dado este y otros ejemplos prácticos, es fácil ver por qué es necesaria unaplanificación minuciosa antes de modificar el valor del sistema QPWDLVL.

Consideraciones para cambiar QPWDLVL d e 0 a 1El nivel de contraseña 1 permite a un sistema, que no tiene necesidad decomunicarse con el producto Windows 95/98/ME AS/400 Client Support paraEntorno de Red Windows (AS/400 NetServer), hacer que se eliminen lascontraseñas de NetServer del sistema. Eliminar las contraseñas cifradasinnecesarias del sistema aumenta la seguridad global del sistema.

Capítulo 4. Consejos para controlar el inicio de sesión interactivo 27

||||

||||

|||

|

||||||||

|||||||||||||

|||||

||

||||||

En QPWDLVL 1, todos los mecanismos actuales de contraseña y autenticación decontraseña anteriores a la V5R1 seguirán funcionando. Hay pocas probabilidadesde interrupciones, excepto en las funciones/servicios que requieran contraseñas deNetServer.

Las funciones/servicios que requieren la contraseña NetServer incluyen:v Soporte AS/400 para Entorno de Red Windows, Windows 95/98/ME edition,

(AS/400 NetServer)

Consideraciones para cambiar QPWDLVL d e 0 ó 1 a 2El nivel de contraseña 2 introduce el uso de contraseñas sensibles a mayúsculas yminúsculas de hasta 128 caracteres (también denominadas frases de paso) yproporciona la capacidad máxima de volver a QPWDLVL 0 ó 1.

Independientemente del nivel de contraseña del sistema, las contraseñas del nivel 2y 3 se crean siempre que se modifica una contraseña o un usuario inicia la sesiónen el sistema. La creación de una contraseña de nivel 2 y 3 mientras el sistema aúnsigue en el nivel de contraseña 0 ó 1 ayuda a prepararse para el cambio al nivel decontraseña 2 ó 3.

Antes de cambiar QPWDLVL a 2, el administrador del sistema deberá utilizar losmandatos DSPAUTUSR o PRTUSRPRF TYPE(*PWDINFO) para localizar todos losperfiles de usuario que no tengan una contraseña utilizable en el nivel decontraseña 2. Dependiendo de los perfiles localizados, al administrador puedeinteresarle utilizar uno de los siguientes mecanismos para hacer que se añada unacontraseña de nivel de contraseña 2 y 3 a los perfiles.v Cambiar la contraseña para el perfil de usuario utilizando el mandato CL

CHGUSRPRF o CHGPWD o la API QSYCHGPW. Esto provocará que el sistemacambie la contraseña utilizable en los niveles de contraseña 0 y 1; el sistematambién creará dos contraseñas equivalentes sensibles a mayúsculas yminúsculas que son utilizables en los niveles de contraseña 2 y 3. Se creaademás una versión en mayúsculas y otra en minúsculas de la contraseña parasu uso en el nivel de contraseña 2 ó 3.Por ejemplo, cambiar la contraseña a C4D2RB4Y da como resultado que elsistema genere las contraseñas C4D2RB4Y y c4d2rb4y del nivel de contraseña 2.

v Iniciar la sesión en el sistema mediante un mecanismo que presente lacontraseña en texto claro (no se utiliza la sustitución de contraseña). Si lacontraseña es válida y el perfil de usuario no tiene una contraseña utilizable enlos niveles de contraseña 2 y 3, el sistema crea dos contraseñas equivalentessensibles a mayúsculas y minúsculas utilizables en los niveles de contraseña 2 y3. Se crea además una versión en mayúsculas y otra en minúsculas de lacontraseña para su uso en el nivel de contraseña 2 ó 3.

La ausencia de una contraseña utilizable en el nivel de contraseña 2 ó 3 puede serun problema cuando el perfil de usuario tampoco tenga una contraseña utilizableen los niveles de contraseña 0 y 1, o cuando el usuario intente iniciar la sesión através de un producto que utilice sustitución de contraseña. En estos casos, elusuario no podrá iniciar la sesión cuando se cambie el nivel de contraseña a 2.

Si un perfil de usuario no tiene una contraseña utilizable en los niveles decontraseña 2 y 3, pero tiene una contraseña utilizable en los niveles de contraseña 0y 1 y el usuario inicia la sesión a través de un producto que envíe contraseñas detexto claro, el sistema validará el usuario ante la contraseña del nivel de contraseña


||||

|

||

||||

|||||

||||||

|||||||

||

|||||||

|||||

||||

0 y creará dos contraseñas del nivel de contraseña 2 (tal como se describe másarriba) para el perfil de usuario. Los siguientes inicios de sesión se validarán antelas contraseñas del nivel de contraseña 2.

Cualquier cliente/servicio que utilice sustitución de contraseña no funcionarácorrectamente en QPWDLVL 2 si no se ha actualizado el cliente/servicio para queutilice el nuevo esquema de sustitución de contraseña. El administrador deberácomprobar si es necesario un cliente/servicio que no se haya actualizado al nuevoesquema de sustitución de contraseña.

Los clientes/servicios que utilizan la sustitución de contraseña incluyen:v TELNETv Client Accessv iSeries Host Serversv QFileSrv.400v Soporte AS/400 NetServer Printv DDMv DRDAv SNA LU6.2

Es altamente recomendable salvar los datos de seguridad antes de cambiar aQPWDLVL 2. Ello puede ayudar a que el retorno a QPWDLVL 0 ó 1 sea más fácil,si fuera necesario.

Se recomienda también que no se cambien los demás valores del sistema paracontraseñas, QPWDMINLEN y QPWDMAXLEN, hasta que se hayan realizadopruebas en QPWDLVL 2. Esto facilitará el retorno a QPWDLVL 1 ó 0, si esnecesario. No obstante, el valor del sistema QPWDVLDPGM debe especificar*REGFAC o *NONE para que el sistema pueda permitir que se cambie QPWDLVLa 2. Por consiguiente, si utiliza un programa de validación de contraseñas, puedeinteresarle escribir uno nuevo que pueda registrarse para el punto de salidaQIBM_QSY_VLD_PASSWRD utilizando el mandato ADDEXITPGM.

Las contraseñas NetServer siguen estando soportadas en QPWDLVL 2, por lo quecualquier función/servicio que requiera una contraseña NetServer deberá seguirfuncionando correctamente.

Una vez el administrador se sienta cómodo ejecutando el sistema en QPWDLVL 2,puede empezar a cambiar los valores del sistema de las contraseñas para laexplotación de contraseñas más largas. No obstante, el administrador debe tener encuenta que las contraseñas más largas pueden provocar estos efectos:v Si se especifican contraseñas de más de 10 caracteres, se borrará la contraseña

del nivel de contraseña 0 y 1. Este perfil de usuario no podrá iniciar la sesión sise devuelve el sistema al nivel de contraseña 0 ó 1.

v Si las contraseñas contienen caracteres especiales o no siguen las normas decomposición para nombres de objeto simples (excluida la sensibilidad amayúsculas y minúsculas), se borrará la contraseña del nivel de contraseña 0 y1.

v Si se especifican contraseñas de más de 14 caracteres, se borrará la contraseñaNetServer del perfil de usuario.

v Los valores del sistema para contraseñas solamente son aplicables al nuevo valorde nivel de contraseña 2 y no a los valores de contraseña de los niveles decontraseña 0 y 1 generados por el sistema o de NetServer (si se han generado).


|||

|||||

|

|

|

|

|

|

|

|

|

|||

||||||||

|||

||||

|||

||||

||

|||

Consideraciones para cambiar QPWDLVL d e 2 a 3Tras ejecutar el sistema en QPWDLVL 2 durante algún tiempo, el administradorpuede considerar el ir a QPWDLVL 3 para maximizar la protección de seguridadpor contraseñas.

En QPWDLVL 3 se borran todas las contraseñas de NetServer, por lo que unsistema no debería pasar a QPWDLVL 3 hasta que no haya necesidad de utilizarcontraseñas de NetServer.

En QPWDLVL 3 se borran todas las contraseñas de los niveles de contraseña 0 y 1.El administrador puede utilizar los mandatos DSPAUTUSR o PRTUSRPRF paralocalizar los perfiles de usuario que no tengan asociados contraseñas del nivel decontraseñas 2 ó 3.

Cambio a un nivel de contraseña inferiorAunque es posible volver a un valor de QPWDLVL inferior, no puede esperarseque resulte una operación sin problemas. La idea general es que se trata de unproceso en una dirección solamente, de los valores de QPWDLVL inferiores a losvalores de QPWDLVL superiores. No obstante, pueden darse casos en los que debareinstaurarse un valor de QPWDLVL inferior.

Las secciones siguientes tratan las tareas necesarias para volver a un nivel decontraseña inferior.

Consideraciones para cambiar de QPWDLVL 3 a 2: Este cambio es relativamentefácil. Una vez QPWDLVL esté establecido en 2, el administrador debe determinarsi algún perfil de usuario debe contener contraseñas NetServer o contraseñas delnivel de contraseña 0 ó 1 y, si hay alguno, cambiar la contraseña del perfil deusuario a un valor permitido.

Adicionalmente, puede ser necesario volver a cambiar los valores del sistema paracontraseñas a valores compatibles con contraseñas NetServer y de nivel decontraseña 0 ó 1, si son necesarias dichas contraseñas.

Consideraciones para cambiar de QPWDLVL 3 a 1 ó 0: Debido a las altasprobabilidades de provocar problemas en el sistema (por ejemplo, que nadie puedainiciar la sesión al haberse borrado todas las contraseñas de los niveles decontraseña 0 y 1), este cambio no está soportado directamente. Para cambiar deQPWDLVL 3 a QPWDLVL 1 ó 0, el sistema debe pasar primero por el cambiointermedio a QPWDLVL 2.

Consideraciones para cambiar de QPWDLVL 2 a 1: Antes de cambiar QPWDLVLa 1, el administrador deberá utilizar los mandatos DSPAUTUSR o PRTUSRPRFTYPE(*PWDINFO) para localizar los perfiles de usuario que no tengan unacontraseña del nivel de contraseña 0 ó 1. Si el perfil de usuario va a necesitar unacontraseña una vez de haya cambiado el QPWDLVL, el administrador deberáasegurarse de que se crea una contraseña del nivel de contraseña 0 y 1 para elperfil, utilizando uno de los siguientes mecanismos:v Cambiar la contraseña para el perfil de usuario utilizando el mandato CL

CHGUSRPRF o CHGPWD o la API QSYCHGPW. Esto provocará que el sistemacambie la contraseña utilizable en los niveles de contraseña 2 y 3; el sistematambién creará una contraseña equivalente en mayúsculas que sea utilizable enlos niveles de contraseña 0 y 1. El sistema sólo será capaz de crear la contraseñade los niveles de contraseña 0 y 1 si se cumplen las siguientes condiciones:– La contraseña tiene 10 caracteres o menos de longitud.


||||

|||

||||

||||||

||

|||||

|||

||||||

|||||||

||||||

|

– La contraseña puede convertirse a los caracteres EBCDIC en mayúsculas A-Z,0-9, @, #, $ y subrayado.

– La contraseña no empieza por un carácter numérico o subrayado.

Por ejemplo, cambiar la contraseña a un valor de DíaLluvia daría comoresultado que el sistema generase una contraseña de los niveles de contraseña 0y 1 de DIALLUVIA. Pero cambiar el valor de contraseña a Días de Lluvia deAbril provocaría que el sistema borrase la contraseña de los niveles decontraseña 0 y 1 (debido a que la contraseña es demasiado larga y contieneespacios en blanco).

No se genera ningún mensaje ni indicación si no ha podido crearse la contraseñadel nivel de contraseña 0 ó 1.

v Iniciar la sesión en el sistema mediante un mecanismo que presente lacontraseña en texto claro (no se utiliza la sustitución de contraseña). Si lacontraseña es válida y perfil de usuario no tiene una contraseña utilizable en losniveles de contraseña 0 y 1, el sistema crea una contraseña equivalente enmayúsculas que sea utilizable en los niveles de contraseña 0 y 1. El sistema sóloserá capaz de crear la contraseña de los niveles de contraseña 0 y 1 si secumplen las condiciones listadas más arriba.

El administrador podrá entonces cambiar QPWDLVL a 1. Se borrarán todas lascontraseñas de NetServer cuando entre en vigor el cambio en QPWDLVL 1 (lasiguiente IPL).

Consideraciones para cambiar de QPWDLVL 2 a 0: Las consideraciones son lasmismas que para cambiar de QPWDLVL 2 a 1, excepto que se conservan todas lascontraseñas de NetServer cuando el cambio entra en vigor.

Consideraciones para cambiar de QPWDLVL 1 a 0: Tras cambiar QPWDLVL a 0,el administrador deberá utilizar los mandatos DSPAUTUSR o PRTUSRPRF paralocalizar los perfiles de usuario que no tengan una contraseña NetServer. Si elperfil de usuario requiere una contraseña NetServer, ésta puede crearsemodificando la contraseña del usuario o iniciando la sesión mediante unmecanismo que presente la contraseña en texto claro.

El administrador podrá entonces cambiar QPWDLVL a 0.

Cambio de contraseñas conocidas públicamenteEfectúe lo siguiente para impedir el acceso al iSeries con contraseñas que puedenseguir existiendo en el sistema.__ Paso 1. Asegúrese de que ningún perfil de usuario tiene la contraseña por

omisión (que coincide con el nombre del perfil de usuario). Puedeutilizar el mandato Analizar contraseñas por omisión (ANZDFTPWD).(Vea el apartado “Cómo evitar las contraseñas por omisión” en lapágina 38.)

__ Paso 2. Intente iniciar la sesión en el sistema con las combinaciones de perfilesde usuario y contraseñas enumeradas en la Tabla 2 en la página 33.Estas contraseñas están publicadas y son la primera elección decualquiera que intente entrar en su sistema sin permiso. Si puedeiniciar la sesión, utilice el mandato Cambiar perfil de usuario(CHGUSRPRF) para cambiar la contraseña por el valor recomendado.


||

|

||||||

||

|||||||

|||

|||

||||||

|

__ Paso 3. Ahora arranque las Herramientas de Servicio Dedicado (DST) e intenteiniciar la sesión con las contraseñas que se muestran en la Tabla 3 en lapágina 34.Puede arrancar las DST mediante uno de estos métodos:v Haga una IPL con el sistema en la modalidad Manual y seleccione

Herramientas de Servicio Dedicado desde el menú IPL o Instalar elSistema.

v Ponga la consola en modalidad DST efectuando lo siguiente:__ Paso a. Asegúrese de que todos los trabajos de la consola han

finalizado.__ Paso b. Ponga la unidad del sistema en modalidad manual.__ Paso c. Utilice el panel del sistema para seleccionar la función

21.__ Paso d. Pulse el botón Intro del panel del sistema.__ Paso e. En el menú IPL o instalar el sistema, seleccione DST.

__ Paso 4. Si puede iniciar la sesión en DST con alguna de estas contraseñas,cambie las contraseñas del modo siguiente:__ Paso a. En el menú Herramientas de servicio dedicado (DST),

seleccione la opción 5 (Trabajar con entorno DST):__ Paso b. En el menú Trabajar con entorno DST, seleccione la opción

11 (Cambiar contraseñas DST).

Nota: Los números de opción de menú pueden serdiferentes en su sistema, según el release de OS/400que esté ejecutando.

Recuerde las contraseñas nuevasAnote las contraseñas elegidas y guárdelas en lugarseguro. Ud. o su servicio técnico de hardware puedenecesitar estas contraseñas en el futuro para trabajaren el sistema.

__ Paso c. En el menú Cambiar contraseñas DST, seleccione la opción3 (Cambiar contraseña de función de seguridad DST).

Nota: La función completa de DST tiene el ID de usuarioQSECOFR. Si lo desea puede cambiar este ID deusuario, pero asegúrese de anotar bien el nuevo ID.

__ Paso d. En la pantalla Cambiar contraseña de función deseguridad DST, escriba una contraseña nueva. Debeescribirla dos veces para verificarla. No se visualiza alteclearla.

__ Paso e. Pulse la tecla Intro.__ Paso f. En el menú Cambiar contraseñas DST, seleccione la opción

2 (Cambiar contraseña de función completa DST).

Nota: La función completa de DST tiene el ID de usuario22222222. Si lo desea puede cambiar este ID deusuario, pero asegúrese de anotar bien el nuevo ID.


__ Paso g. En la pantalla Cambiar contraseña de función completaDST, escriba una contraseña nueva. Debe escribirla dosveces para verificarla. No se visualiza al teclearla.

__ Paso h. Pulse la tecla Intro.__ Paso i. En el menú Cambiar contraseñas DST, seleccione la opción

1 (Cambiar contraseña de función básica DST).

Nota: La función básica de DST tiene el ID de usuario11111111. Si lo desea puede cambiar este ID deusuario, pero asegúrese de anotar bien el nuevo ID.

__ Paso j. En la pantalla Cambiar contraseña de función básica,escriba una contraseña nueva. Debe escribirla dos vecespara verificarla. No se visualiza al teclearla.

__ Paso k. Pulse la tecla Intro.__ Paso l. Pulse F3 hasta que vea el menú Herramientas de servicio

dedicado (DST).__ Paso 5. Finalmente, asegúrese de que no puede iniciarse la sesión pulsando la

tecla Intro en la pantalla Inicio de sesión sin entrar un ID de usuario yuna contraseña. Pruebe en varias pantallas. Si puede iniciar la sesiónsin entrar información alguna en la pantalla Inicio de sesión, efectúeuna de estas acciones:v Cambie el valor de seguridad por 40 ó 50 (valor del sistema

QSECURITY).

Nota: Las aplicaciones se pueden ejecutar de modo diferente alcambiar al nivel de seguridad 40 ó 50 de un nivel deseguridad inferior. Revise la información en el Capítulo 2 dela publicación iSeries Security Reference antes de cambiar alnivel de seguridad 40 ó 50.

v Cambie todas las entradas de estación de trabajo para subsistemasinteractivos de modo que señalen a las descripciones de trabajos enlas que se especifica USER(*RQD).

Tabla 2. Contraseñas para perfiles proporcionados por IBMID de usuario Contraseña Valor recomendado

QSECOFR QSECOFR1 Valor no deducible, conocido únicamente por eladministrador de seguridad. Anote la contraseñaelegida y guárdela en un lugar seguro.

QSYSOPR QSYSOPR *NONE2

QPGMR QPGMR *NONE2

QUSER QUSER *NONE2, 3

QSRV QSRV *NONE2

QSRVBAS QSRVBAS *NONE2


Tabla 2. Contraseñas para perfiles proporcionados por IBM (continuación)ID de usuario Contraseña Valor recomendado

Notas:

1. A partir de la V3R2, el sistema se envía con el valor Establecer contraseña como caducadapara QSECOFR fijado en *YES. La primera vez que se inicia la sesión en un sistemanuevo, debe cambiar la contraseña de QSECOFR.

2. El sistema necesita estos perfiles de usuario para las funciones del sistema, pero nodebe permitir que los usuarios inicien la sesión con estos perfiles. Para sistemas nuevosinstalados con la V3R1 o un release posterior, esta contraseña se envía como *NONE.

Cuando se ejecuta el mandato CFGSYSSEC, el sistema establece estas contraseñas como*NONE.

3. Para ejecutar Client Access AS/400 para Windows 95/NT utilizando TCP/IP, el perfilde usuario QUSER debe estar habilitado y tener contraseña. Si ejecuta la herramientade seguridad CHGSYSSEC, tendrá que asignar una contraseña al perfil QUSER.

Tabla 3. Contraseñas para Herramientas de Servicio Dedicado

Nivel de DSTID deusuario1 Contraseña Valor recomendado

Funciones básicas 11111111 11111111 Un valor no deducible, conocidoúnicamente por el administrador deseguridad.2

Todas lasfunciones

22222222 222222223 Un valor no deducible, conocidoúnicamente por el administrador deseguridad.2

Funciones deseguridad

QSECOFR QSECOFR3 Un valor no deducible, conocidoúnicamente por el administrador deseguridad.2

Posibilidad deservicio

QSRV QSRV3 Un valor no deducible, conocidoúnicamente por el administrador deseguridad.2

Notas:

1. Para los releases del sistema operativo PowerPC AS (RISC) sólo se requiere un ID deusuario.

2. Si el representante de servicio de hardware necesita conectarse con esta contraseña e IDde usuario, cambie la contraseña para un nuevo valor una vez que el servicio técnicode hardware haya terminado.

3. El perfil de usuario de las herramientas de servicio caducará en cuanto se hayautilizado por primera vez.

Nota: Las contraseñas DST sólo pueden modificarse mediante un dispositivoautenticado. Esto también se cumple para todas las contraseñas y los ID deusuario correspondientes que sean idénticos. Para obtener más informaciónsobre los dispositivos autenticados, consulte el apartado Configuración deConsola de operaciones.

Establecimiento de los valores de inicio de sesiónEn la Tabla 4 en la página 35 se muestran diversos valores que se pueden definirpara que a una persona no autorizada le resulte más difícil la conexión al sistema.Si ejecuta el mandato CFGSYSSEC, estos valores del sistema tomarán los valoresrecomendados. Puede leer más acerca de estos valores del sistema en el Capítulo 3de la publicación iSeries Security Reference.


|

|

||||

||

|||||

Tabla 4. Valores del sistema de inicio de sesiónNombre de valor delsistema Descripción

Valorrecomendado

QAUTOCFG Indica si el sistema configura automáticamentenuevos dispositivos.

0 (No)

QAUTOVRT Número de descripciones de dispositivosvirtuales que el sistema creará automáticamentesi no hay ningún dispositivo disponible para suutilización

0

QDEVRCYACN Qué hace el sistema cuando se vuelve aconectar un dispositivo después de un error.1

*DSCMSG

QDSCJOBITV Cuánto tiempo espera el sistema antes definalizar un trabajo desconectado.

120

QDSPSGNINF Indica si el sistema visualizará informaciónacerca de la actividad de inicio de sesión previacuando un usuario se conecta.

1 (Sí)

QINACTITV Cuánto tiempo espera el sistema antes derealizar alguna acción cuando un trabajointeractivo está inactivo.

60

QINACTMSG Qué acción lleva a cabo el sistema cuando sealcanza el período de tiempo de QINACTITV.

*DSCJOB

QLMTDEVSSN Indica si el sistema impedirá a los usuariosiniciar una sesión en más de una estación detrabajo simultáneamente.

1 (Sí)

QLMTSECOFR Indica si los usuarios que disponen de laautorización especial *ALLOBJ o *SERVICEpueden iniciar la sesión solamente enestaciones de trabajo determinadas.

1 (Sí)2

QMAXSIGN Número máximo de intentos consecutivos deinicio de sesión incorrectos (el perfil de usuarioo la contraseña son incorrectos).

3

QMAXSGNACN Acción que el sistema lleva a cabo cuando sealcanza el límite de QMAXSIGN.

3 (Inhabilitar elperfil de usuario yel dispositivo)

Notas:

1. A partir de la V4R2, el sistema puede desconectar y volver a conectar sesiones TELNETcuando se ha asignado explícitamente la descripción de dispositivo para la sesión.

2. Si establece este valor del sistema en 1 (Sí), será necesario otorgar autorización sobre losdispositivos explícitamente a los usuarios que disponen de las autorizaciones especiales*ALLOBJ o *SERVICE. El modo más sencillo de hacerlo es proporcionar al perfil deusuario QSECOFR la autorización *CHANGE sobre dispositivos determinados.

Cambio de los mensajes de error de inicio de sesiónA los piratas informáticos les resulta muy útil saber si van por buen caminocuando tratan de entrar en un sistema sin permiso. Cuando en la pantalla Inicio desesión se visualiza un mensaje de error que dice Contraseña incorrecta, el piratainformático sabe que el ID de usuario sí es correcto. Puede intentar despistarleutilizando el mandato Cambiar descripción de mensaje (CHGMSGD) paramodificar el texto de dos mensajes de error de inicio de sesión. La Tabla 5 en lapágina 36 contiene el texto que se recomienda utilizar.


Tabla 5. Mensajes de error de inicio de sesión

ID de mensaje Texto original Texto recomendado

CPF1107 CPF1107 – Contraseña incorrectapara perfil de usuario.

La información de inicio de sesión noes correcta.Nota: No incluya el ID de mensaje enel texto.

CPF1120 CPF1120 – El usuario XXXXX noexiste.

La información de inicio de sesión noes correcta.Nota: No incluya el ID de mensaje enel texto.

Planificación de la disponibilidad de los perfiles de usuarioEs posible que desee que algunos perfiles de usuario estén disponibles solamente adeterminadas horas del día o en ciertos días de la semana. Por ejemplo, si tiene unperfil configurado para un supervisor de seguridad, puede habilitarlo solamentedurante las horas de trabajo previstas del supervisor. También puede inhabilitarperfiles de usuario con autorización especial *ALLOBJ (incluido el perfil de usuarioQSECOFR) durante el horario no de oficina.

Puede utilizar el mandato Cambiar entrada de planificación de activación(CHGACTSCDE) para establecer que los perfiles de usuarios se puedan habilitar einhabilitar automáticamente. Para cada perfil de usuario que desee planificar, debecrear una entrada que defina la planificación del perfil de usuario.

Por ejemplo, si desea que el perfil QSECOFR esté disponible únicamente entre las 7de la mañana y las 10 de la noche, escribirá lo siguiente en la pantallaCHGACTSCDE:

De hecho, quizá desee disponer del perfil QSECOFR sólo para un número limitadode horas cada día. Puede utilizar otro perfil de usuario con la clase *SECOFR pararealizar la mayoría de las funciones. De este modo, evitará arriesgar un perfil deusuario conocido ante los piratas informáticos.

Puede utilizar periódicamente el mandato Visualizar entradas de diario deauditoría (DSPAUDJRNE) para imprimir las entradas CP (Cambiar perfil) de diariode auditoría. Utilice estas entradas para verificar que el sistema habilita e inhabilitalos perfiles de usuario según la planificación efectuada.

Cambiar entrada de planificación de activación (CHGACTSCDE)

Teclee elecciones, pulse Intro.

Perfil de usuario . . . . . . . > QSECOFR NombreHora habilitación . . . . . . . > '7:00' Hora, *NONEHora inhabilitación . . . . . . > '22:00' Hora, *NONEDías . . . . . . . . . . . . . . > *MON *ALL, *MON, *TUE, *WED...

> *TUE> *WED> *THU

+ para más valores > *FRI

Figura 3. Pantalla de planificación de activación de perfil–Ejemplo


Otro método para asegurarse de que los perfiles de usuario se inhabilitan deacuerdo con lo planificado es la utilización del mandato Imprimir perfil de usuario(PRTUSRPRF). Cuando se especifica *PWDINFO para el tipo de informe, elinforme incluye el estado de cada perfil de usuario seleccionado. Si, por ejemplo,inhabilita regularmente todos los perfiles de usuario que tienen la autorizaciónespecial *ALLOBJ, puede planificar el mandato siguiente para que se ejecuteinmediatamente después de la inhabilitación de los perfiles:PRTUSRPRF TYPE(*PWDINFO) SELECT(*SPCAUT) SPCAUT(*ALLOBJ)

Eliminación de perfiles de usuario inactivosEl sistema debe contener solamente los perfiles de usuario que sean necesarios. Siya no necesita un perfil de usuario porque el usuario ya no trabaja en suorganización o porque ocupa otro cargo en la misma, elimine el perfil de usuario.Si alguien está ausente de la organización durante un amplio período de tiempo,inhabilite (desactive) el perfil de usuario correspondiente. Los perfiles de usuarioinnecesarios pueden constituir un modo de entrar en el sistema sin autorizaciónpara ello.

Si está utilizando el Operations Navigator, lo conseguirá realizando los cambiosmediante la función de seguridad Listas de autorizaciones (vea la informaciónsobre el Operations Navigator en la tercera sección de esta publicación).

Inhabilitación automática de perfiles de usuarioPuede utilizar el mandato Analizar actividad de perfil (ANZPRFACT) parainhabilitar regularmente los perfiles de usuario que han estado inactivos duranteun número determinado de días. Cuando se utiliza el mandato ANZPRFACT, seespecifica el número de días de inactividad que buscará el sistema. El sistemaconsulta la fecha del último uso, la fecha de restauración y la fecha de creación delperfil de usuario.

Una vez haya especificado un valor para el mandato ANZPRFACT, el sistemaplanificará un trabajo para que se ejecute semanalmente a la 1 del mediodía(empezando el día después de que se especificara un valor por primera vez). Eltrabajo examina todos los perfiles e inhabilita los perfiles inactivos. No es precisoque utilice de nuevo el mandato ANZPRFACT, a menos que desee cambiar elnúmero de días de inactividad.

Puede utilizar el mandato Cambiar lista de perfiles activos (CHGACTPRFL) parahacer que algunos perfiles estén exceptuados del proceso de ANZPRFACT. Elmandato CHGACTPRFL crea una lista de perfiles de usuario que el mandatoANZPRFACT no inhabilitará, independientemente del tiempo que hayan estadoinactivos.

Cuando el sistema ejecuta el mandato ANZPRFACT graba una entrada CP en eldiario de auditoría para cada perfil de usuario que se inhabilita. Puede utilizar elmandato DSPAUDJRNE para listar los perfiles de usuario que se acaban deinhabilitar.

Nota: El sistema solamente graba entradas de auditoría si en el valor QAUDCTLse especifica *AUDLVL y en el valor del sistema QAUDLVL se especifica*SECURITY.

Otro método para asegurarse de que los perfiles de usuario se inhabilitan deacuerdo con lo planificado es la utilización del mandato Imprimir perfil de usuario


(PRTUSRPRF). Cuando se especifica *PWDINFO para el tipo de informe, se incluyeen éste el estado de todos los perfiles de usuario seleccionados.

Eliminación automática de perfiles de usuarioPuede utilizar el mandato Cambiar entrada de planificación de caducidad(CHGEXPSCDE) para gestionar la eliminación o la inhabilitación de perfiles deusuario. Si sabe que un usuario estará ausente durante un amplio período detiempo, puede planificar la eliminación o la inhabilitación del perfil de usuariocorrespondiente.

La primera vez que se utiliza el mandato CHGEXPSCDE, se crea una entrada deplanificación de trabajo que se ejecuta cada día un minuto después de lamedianoche. El trabajo consulta el archivo QASECEXP para determinar si se haplanificado la eliminación de perfiles de usuario ese día.

Con el mandato CHGEXPSCDE, puede inhabilitar o suprimir un perfil de usuario.Si opta por suprimirlo, debe indicar qué acciones llevará a cabo el sistema con losobjetos propiedad del usuario. Antes de planificar la supresión de un perfil deusuario, es necesario investigar los objetos que son propiedad de ese usuario. Porejemplo, si el usuario es propietario de programas que adoptan autorización,¿desea que estos programas adopten la autorización del nuevo propietario? ¿O elnuevo propietario tiene más autorización de la necesaria (por ejemplo, autorizaciónespecial)? Quizá necesite crear un nuevo perfil de usuario con autorizacionesespeciales para poseer programas para los que se necesita autorización.

También es necesario averiguar si se producirán problemas en las aplicaciones alsuprimir ese perfil de usuario. Por ejemplo, ¿en alguna de las descripciones detrabajo se especifica ese perfil de usuario como usuario por omisión?

Puede utilizar el mandato Visualizar planificación de caducidad (DSPEXPSCD)para visualizar la lista de perfiles que se han planificado para su inhabilitación oeliminación.

Puede utilizar el mandato Visualizar usuarios autorizados (DSPAUTUSR) paraobtener una lista de todos los perfiles de usuario del sistema. Utilice el mandatoSuprimir perfil de usuario (DLTUSRPRF) para suprimir los perfiles antiguos.

Nota de seguridad: Los perfiles de usuario se inhabilitan estableciendo su estadocomo *DISABLED. Cuando se inhabilita un perfil, deja deestar disponible para su uso interactivo. No puede iniciar lasesión ni cambiar un trabajo utilizando un perfil de usuarioinhabilitado. Los trabajos de proceso por lotes sí se puedenejecutar bajo un perfil de usuario que esté inhabilitado.

Cómo evitar las contraseñas por omisiónCuando se crea un nuevo perfil de usuario, se toma como contraseña por omisiónel mismo nombre del perfil. Ello proporciona una oportunidad de entrar en elsistema sin permiso, si el intruso conoce su método de asignación de nombres deperfil y sabe que se unirá un nuevo miembro a su organización.

Cuando cree perfiles de usuario nuevos, considere la posibilidad de asignarlescontraseñas exclusivas y no deducibles en lugar de utilizar la contraseña poromisión. Informe al nuevo usuario de cuál es su contraseña de forma confidencial;por ejemplo, en una carta de bienvenida al sistema en la que se indica cuáles son


sus métodos de seguridad. Haga que el usuario cambie la contraseña la primeravez que inicie la sesión estableciendo el perfil de usuario con el valorPWDEXP(*YES).

Puede utilizar el mandato Analizar contraseñas por omisión (ANZDFTPWD) paracomprobar si en el sistema hay perfiles de usuario con contraseñas por omisión.Cuando imprima el informe, tendrá la opción de especificar que el sistema debeemprender alguna acción (como la inhabilitación del perfil de usuario) si lacontraseña coincide con el nombre del perfil de usuario. El mandato ANZDFTPWDimprime una lista de los perfiles que encontró y las acciones que llevó a cabo.

Nota: Las contraseñas se almacenan en el sistema en un formato cifradoirreversible. No se pueden descifrar. El sistema cifra la contraseñaespecificada y la compara con la contraseña almacenada, tal comocomprobaría una contraseña cuando iniciara la sesión en el sistema. Si estárealizando una auditoría de las anomalías de autorización (*AUTFAIL), elsistema grabará una entrada de diario de auditoría PW para cada perfil deusuario que no tenga una contraseña por omisión (para los sistemas conV4R1 o releases anteriores). A partir de la V4R2, el sistema no grabaentradas de diario de auditoría PW cuando se ejecuta el mandatoANZDFTPWD.

Supervisión de la actividad de inicio de sesión y de contraseñaSi le preocupan los intentos de entrar en el sistema sin autorización, puede utilizarel mandato PRTUSRPRF para supervisar la actividad de inicio de sesión y decontraseña. La Figura 4 muestra un ejemplo del informe que se genera:

A continuación se enumeran varias sugerencias para utilizar este informe:v Determine si el intervalo de caducidad de la contraseña para algunos perfiles de

usuario es superior al valor del sistema y si ello está justificado. Por ejemplo, enel informe, USERY tiene un intervalo de caducidad de contraseña de 120 días.

v Ejecute este informe regularmente para supervisar los intentos de inicio desesión no satisfactorios. Aquellas personas que intenten entrar sin permiso en susistema pueden darse cuenta de que el sistema lleva a cabo alguna acción trasun cierto número de intentos no satisfactorios. Cada noche, el intruso potencialpodría intentar el inicio de sesión menos veces de las especificadas en el valorQMAXSIGN para evitar que se descubra su intención. Sin embargo, si ejecutaeste informe cada mañana y observa que determinados perfiles suelen tenerintentos de inicio de sesión no satisfactorios, puede empezar a pensar quepueden surgir problemas.

v Identifique los perfiles de usuario que no se han utilizado o cuyas contraseñasno se han cambiado durante mucho tiempo.

Información de perfil de usuarioSYSTEM4

Tipo de informe . . . . . . . : *PWDINFOSeleccionar por . . . . . . . : *SPCAUTAutorizaciones especiales . . : *ALLOBJ *SERVICEValor del sistema QPWDEXPITV . : 60Perfil Inic. sesión Sin Inic. ses. Contraseña Intervalo Contraseñausuario Estado no válidos contraseña anteriores cambiada caducidad caducadaUSERA *DISABLED 1 07/19/95 05/25/95 *SYSVAL *YESUSERB *ENABLED 2 06/30/95 03/02/95 *SYSVAL *YESUSERX *DISABLED 0 X / / 11/28/95 *SYSVAL *NOUSERY *ENABLED 0 04/25/95 04/25/95 120 *YES

Figura 4. Informe de usuarios–Ejemplo de información de contraseñas


Consejos para el almacenamiento de la información de contraseñasPara dar soporte a algunos requisitos de comunicaciones y funciones de red, eliSeries proporciona un método seguro para almacenar las contraseñas que sepueden descifrar.El sistema utiliza estas contraseñas, por ejemplo, para estableceruna conexión SLIP con otro sistema. (En el apartado “Seguridad y sesiones demarcación” en la página 175 se describe esta utilización de las contraseñasalmacenadas.)

El iSeries almacena estas contraseñas especiales en un área segura que no esaccesible a las interfaces ni a los programas de usuario. Solamente las funcionesdel sistema con autorización explícita pueden establecer y recuperar estascontraseñas.

Por ejemplo, cuando se utiliza una contraseña almacenada para las conexionesSLIP de marcación, la contraseña se establece con el mandato del sistema que creael perfil de configuración (WRKTCPPTP). Es preciso tener *IOSYSCFG para utilizareste mandato. Un script de conexión codificado de forma especial recupera lacontraseña y la descifra durante el procedimiento de marcación. La contraseñadescifrada no es visible para el usuario ni en ninguna anotación de trabajo.

Como administrador de seguridad, debe decidir si permitirá que en el sistema sealmacenen las contraseñas que se puedan descifrar. Para especificarlo, utilice elvalor del sistema Retener datos de seguridad del servidor (QRETSVRSEC). El valorpor omisión es 0 (No). Por lo tanto, el sistema no almacenará contraseñas quepueden descifrarse si no establece explícitamente este valor del sistema.

Si tiene requisitos de comunicaciones o de redes para las contraseñas almacenadas,debe definir los métodos adecuados y comprender los métodos y las prácticas delas organizaciones con las que se comunica. Por ejemplo, cuando se utiliza SLIPpara comunicarse con otro iSeries, en ambos sistemas debe tenerse en cuenta lapreparación de perfiles de usuario especiales para establecer las sesiones. Dichosperfiles deben tener autorización limitada sobre el sistema. De este modo se limitael efecto sobre el sistema si una contraseña almacenada está comprometida en unsistema asociado.


Capítulo 5. Cómo realizar la puesta a punto del sistema parautilizar las Herramientas de seguridad

Este capítulo describe cómo realizar la puesta a punto del sistema para utilizar lasherramientas de seguridad que forman parte del Operating System/400.

Iniciación a las Herramientas de seguridadCuando instala el OS/400, las herramientas de seguridad están listas para serutilizadas. Los temas que siguen proporcionan sugerencias para los procedimientosoperativos con las herramientas de seguridad.

Seguridad en las Herramientas de seguridadCuando se instala OS/400, los objetos asociados con las herramientas de seguridadestán protegidos. Para trabajar con las herramientas de seguridad de una formacorrecta, evite hacer cambios de autorización a los objetos de herramientas deseguridad.

A continuación se indican los requisitos y valores de seguridad para los objetos deherramientas de seguridad:v Los programas y mandatos de las herramientas de seguridad están en la

biblioteca del producto QSYS. Los mandatos y los programas se entregan con laautorización de uso público de *EXCLUDE. Muchos de los mandatos de lasherramientas de seguridad crean archivos en la biblioteca QUSRSYS. Cuando elsistema crea estos archivos, la autorización de uso público para los archivos es*EXCLUDE.Los archivos que contienen información para producir informes cambiadostienen nombres que empiezan por QSEC. Los archivos que contienen informaciónpara gestionar perfiles de usuario tienen nombres que empiezan por QASEC. Estosarchivos contienen información confidencial acerca del sistema. Por tanto, nodebe cambiar la autorización de uso público sobre los archivos.

v Las herramientas de seguridad utilizan la puesta a punto normal del sistemapara dirigir la salida impresa. Estos informes contienen información confidencialacerca del sistema. Para dirigir la salida a una cola de salida protegida, haga loscambios oportunos en el perfil de usuario o descripción de trabajo para losusuarios que ejecutarán las herramientas de seguridad.

v Debido a sus funciones de seguridad y a que tienen acceso a muchos objetos delsistema, los mandatos de las herramientas de seguridad requieren autorizaciónespecial *ALLOBJ. Algunos de los mandatos también requieren autorizaciónespecial *SECADM, *AUDIT o *IOSYSCFG. Para asegurarse de que los mandatosse ejecutan satisfactoriamente, debe iniciar la sesión como responsable deseguridad cuando utilice las herramientas de seguridad. Por tanto, no esnecesario que otorgue autorización privada a ningún mandato de lasherramientas de seguridad.

Cómo evitar conflictos de archivosMuchos de los mandatos de informe de las herramientas de seguridad crean unarchivo de base de datos que se puede utilizar para imprimir una versiónmodificada del informe. El apartado Mandatos y menús de los mandatos deseguridad le indica el nombre de archivo para cada mandato. Sólo puede ejecutar


un mandato a la vez desde un trabajo. Actualmente la mayoría de los mandatostienen métodos para hacer que esto se cumpla. Si ejecuta un mandato cuando otrotrabajo aún no ha terminado de ejecutarlo, recibirá un mensaje de error.

Muchos trabajos de impresión son trabajos de larga ejecución. Hay que tenercuidado para evitar conflictos de archivo cuando los informes se someten aprocesos por lotes o cuando se añaden al planificador de trabajos. Por ejemplo, esposible que desee imprimir dos versiones del informe PRTUSRPRF con diferentescriterios de selección. Si está sometiendo informes a proceso por lotes, debe utilizaruna cola de trabajos que no ejecute más de un trabajo al mismo tiempo, paraasegurarse de que los trabajos de informes se ejecutan secuencialmente.

Si está utilizando un planificador de trabajos, debe planificar los dos trabajos consuficiente separación para que la primera versión finalice antes de que se inicie elsegundo trabajo.

Cómo salvar las Herramientas de seguridadLos programas de las herramientas de seguridad se guardan siempre que seejecute el mandato Salvar sistema (SAVSYS) o una opción del menú Salvar queejecuta el mandato SAVSYS.

Los archivos de las herramientas de seguridad están en la biblioteca QUSRSYS.Esta biblioteca se debe salvar como parte de los procedimientos operativos que serealizan habitualmente. La biblioteca QUSRSYS contiene datos para muchosprogramas bajo licencia del sistema. Consulte el Information Center para obtenermás información sobre qué mandatos y opciones salvan la biblioteca QUSRSYS.

Mandatos y menús de los mandatos de seguridadEste apartado describe los mandatos y los menús para las herramientas deseguridad. A lo largo de este manual encontrará ejemplos sobre el modo de utilizarlos mandatos.

Existen dos menús disponibles para las herramientas de seguridad:v El menú SECTOOLS (Herramientas de seguridad) para ejecutar mandatos de

forma interactiva.v El menú SECBATCH (Someter o planificar informes de seguridad para procesar

por lotes) para ejecutar los mandatos del informe por lotes. El menú SECBATCHestá dividido en dos partes. La primera parte del menú utiliza el mandatoSometer trabajo (SBMJOB) para someter informes para el proceso por lotesinmediato.La segunda parte del menú utiliza el mandato Añadir entrada de planificaciónde trabajos (ADDJOBSCDE). Se utiliza para planificar los informes de seguridadpara ejecutarlos regularmente a la hora y el día especificados.

Opciones del menú Herramientas de seguridadA continuación, aparece la parte del menú SECTOOLS que está relacionada con losperfiles de usuario. Para acceder a este menú, escriba GO SECTOOLS


|||||

SECTOOLS Herramientas de seguridad

Seleccione una de las siguientes opciones:

Trabajar con perfiles1. Analizar contraseñas por omisión

2. Visualizar lista de perfiles activos3. Cambiar lista de perfiles activos4. Analizar actividad de perfil

5. Visualizar planificación de activación6. Cambiar entrada de planificación de activación

7. Visualizar planificación de caducidad8. Cambiar entrada de planificación de caducidad9. Imprimir información interna de perfil

La Tabla 6 describe las opciones de menú y los mandatos asociados:

Tabla 6. Mandatos de las herramientas para perfiles de usuario

Opción de1

menú Nombre de mandato DescripciónArchivo de base dedatos utilizado

1 ANZDFTPWD Utilice el mandato Analizar contraseñas poromisión para informar y emprender unaacción en los perfiles de usuario que tienenuna contraseña que es igual que el nombre deperfil de usuario.

QASECPWD2

2 DSPACTPRFL Utilice el mandato Visualizar lista de perfilesactivos para visualizar o imprimir la lista deperfiles de usuario que están exentos delproceso de ANZPRFACT.

QASECIDL2

3 CHGACTPRFL Utilice el mandato Cambiar lista de perfilesactivos para añadir y eliminar perfiles deusuario de la lista de exenciones para elmandato ANZPRFACT. Un perfil de usuarioque se encuentra en la lista de perfiles activosestá permanentemente activo (hasta que seelimine el perfil de la lista). El mandatoANZPRFACT no inhabilita un perfil que seencuentre en la lista de perfiles activos, pormucho tiempo que el perfil haya permanecidoinactivo.

QASECIDL2

4 ANZPRFACT Utilice el mandato Analizar actividad de perfilpara inhabilitar los perfiles de usuario que nose han utilizado durante un númeroespecificado de días. Después de utilizar elmandato ANZPRFACT para especificar elnúmero de días, el sistema ejecuta el trabajoANZPRFACT por la noche.

Puede utilizar el mandato CHGACTPRFL paraimpedir que los perfiles de usuario seinhabiliten.

QASECIDL2

Capítulo 5. Cómo realizar la puesta a punto del sistema para utilizar las Herramientas de seguridad 43

Tabla 6. Mandatos de las herramientas para perfiles de usuario (continuación)

Opción de1


5 DSPACTSCD Utilice el mandato Visualizar planificación deactivación de perfil para visualizar o imprimirinformación sobre la planificación parahabilitar e inhabilitar los perfiles de usuarioespecíficos. La planificación se crea con elmandato CHGACTSCDE.

QASECACT2

6 CHGACTSCDE Utilice el mandato Cambiar entrada deplanificación de activación para que un perfilde usuario esté disponible para iniciar lasesión solamente en determinados momentosdel día o de la semana. Para cada perfil deusuario que se planifica, el sistema creaentradas de planificación de trabajos para lashoras de habilitación e inhabilitación.

QASECACT2

7 DSPEXPSCD Utilice el mandato Visualizar planificación decaducidad para visualizar o imprimir la listade los perfiles de usuario que se hanplanificado para la inhabilitación o eliminacióndel sistema en el futuro. El mandatoCHGEXPSCDE se utiliza para preparar lacaducidad de los perfiles de usuario.

QASECEXP2

8 CHGEXPSCDE Utilice el mandato Cambiar entrada deplanificación de caducidad para planificar laeliminación de un perfil de usuario. Puedeeliminarlo temporalmente (inhabilitándolo) opuede suprimirlo del sistema. Este mandatoutiliza una entrada de planificación de trabajosque se ejecuta cada día a las 00:01 (1 minutodespués de la medianoche). El trabajo examinael archivo QASECEXP para determinar sialgún perfil de usuario se ha establecido paraque caduque ese día.

Utilice el mandato DSPEXPSCD paravisualizar los perfiles de usuario cuyacaducidad se ha planificado.

QASECEXP2

9 PRTPRFINT Utilice el mandato Imprimir informacióninterna de perfil para imprimir un informeque contiene información sobre el número deentradas contenidas en un perfil de usuario. Elnúmero de entradas determina el tamaño delperfil de usuario.

Notas:

1. Las opciones pertenecen al menú SECTOOLS.

2. Este archivo está en la biblioteca QUSRSYS.

Puede avanzar páginas en el menú para ver las opciones adicionales. La Tabla 7 enla página 45 describe las opciones de menú y los mandatos asociados para lasauditorías de seguridad:


Tabla 7. Mandatos de herramientas para la auditoría de seguridad

Opción de1


10 CHGSECAUD Utilice el mandato Cambiar auditoría deseguridad para poner a punto la auditoría deseguridad y cambiar los valores del sistemaque la controlan. Cuando se ejecuta elmandato CHGSECAUD, el sistema crea eldiario de auditoría de seguridad (QAUDJRN),en caso de que no exista.

El mandato CHGSECAUD proporcionaopciones que simplifican la definición delvalor del sistema QAUDLVL (nivel deauditoría). Puede especificar *ALL para activartodos los posibles valores del nivel deauditoría. También puede especificar *DFTSETpara activar los valores utilizados máscomúnmente (*AUTFAIL, *CREATE, *DELETE,*SECURITY y *SAVRST).Nota: Si utiliza las herramientas de seguridadpara poner a punto la auditoría, asegúrese deplanificar la gestión de los receptores de diariode auditoría. De lo contrario podrá encontrarserápidamente con problemas relativos a lautilización del disco.

11 DSPSECAUD Utilice el mandato Visualizar auditoría deseguridad para visualizar información sobre eldiario de auditoría de seguridad y los valoresdel sistema que controlan la auditoría deseguridad.

Notas:


Cómo utilizar el menú Proceso por lotes de la seguridadA continuación, le presentamos la primera parte del menú SECBATCH:

SECBATCH Someter o planificar informes seguridad para procesar por lotesSistema:


Someter informes para procesar por lotes1. Adopción de objetos2. Entradas de diario de auditoría3. Autorizaciones de la lista de autorizaciones4. Autorización de mandato5. Autorización de uso privado sobre mandato6. Seguridad de comunicaciones7. Autorización sobre directorio8. Autorización de uso privado sobre directorio9. Autorización sobre documento10. Autorización de uso privado sobre documento11. Autorización sobre archivo12. Autorización de uso privado sobre archivo13. Autorización sobre carpeta

Cuando se selecciona una opción de este menú, aparece una pantalla Sometertrabajo (SBMJOB) parecida a la siguiente:


Someter trabajo (SBMJOB)Teclee elecciones, pulse Intro.Mandato a ejecutar . . . . . . . PRTADPOBJ USRPRF(*ALL)___________________

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ...Nombre de trabajo . . . . . . . *JOBD Nombre, *JOBDDescripción de trabajo . . . . . *USRPRF Nombre, *USRPRFBiblioteca . . . . . . . . . . Nombre, *LIBL, *CURLIB

Cola de trabajos . . . . . . . . *JOBD Nombre, *JOBDBiblioteca . . . . . . . . . . Nombre, *LIBL, *CURLIB

Prioridad de trabajo (en JOBQ) . *JOBD 1-9, *JOBDPrioridad de salida (en OUTQ) . *JOBD 1-9, *JOBDDispositivo de impresión . . . . *CURRENT Nombre, *CURRENT, *USRPRF...

Si desea modificar las opciones por omisión del mandato, puede pulsar F4(Solicitud) en la línea Mandato a ejecutar.

Para ver Someter informes a proceso por lotes, avance página en el menúSECBATCH. Utilizando las opciones de esta parte del menú, puede por ejemplo,preparar el sistema para que ejecute con regularidad las versiones modificadas delos informes.

SECBATCH Someter o planificar informes seguridad para procesar por lotesSistema:


28. Objetos de usuario29. Información de perfil de usuario30. Información interna de perfil de usuario

31. Comprobar integridad de objeto

Planificar informes de proceso por lotes40. Adoptar objetos41. Entradas de diario de auditoría42. Autorizaciones de lista de autorizaciones43. Autorización sobre mandato44. Autorización de uso privado sobre mandato45. Seguridad de comunicaciones46. Autorización sobre directorio

Puede avanzar páginas para ver más opciones de menú. Cuando se selecciona unaopción de esta parte del menú, se visualiza la pantalla Añadir entrada deplanificación de trabajos (ADDJOBSCDE):


Añadir entrada de planificación de trabajos (ADDJOBSCDE)


Nombre de trabajo . . . . . . . Name, *JOBDMandato a ejecutar . . . . . . . > PRTADPOBJ USRPRF(*ALL)__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ...Frecuencia . . . . . . . . . . . *ONCE, *WEEKLY, *MONTHLYFecha planificación . . . . . . *CURRENT Date, *CURRENT, *MONTHSTDía planificación . . . . . . . *NONE *NONE, *ALL, *MON, *TUE.

+ para más valoresHora planificación . . . . . . . *CURRENT Time, *CURRENT

Puede situar el cursor en la línea Mandato a ejecutar y pulsar F4 (Solicitud) paraelegir diferentes valores para el informe. Debe asignar un nombre de trabajo quetenga sentido para poder reconocer la entrada cuando se visualizan entradas deplanificación de trabajos.

Opciones del menú Proceso por lotes de seguridadLa Tabla 8 en la página 48 describe las opciones de menú y los mandatos asociadospara los informes de seguridad.

Cuando ejecuta los informes de seguridad, el sistema sólo imprime informaciónque se ajusta a los criterios de selección que ha especificado y a los criterios deselección de la herramienta. Por ejemplo, las descripciones de trabajo queespecifican un nombre de perfil de usuario son significativas para la seguridad.Por consiguiente, el informe de descripción de trabajo (PRTJOBDAUT) sóloimprime descripciones de trabajos de la biblioteca especificada si la autorización deuso público para la descripción de trabajo no es *EXCLUDE y si la descripción detrabajo especifica un nombre de perfil de usuario en el parámetro USER.

Asimismo, cuando se imprime información sobre el subsistema (mandatoPRTSBSDAUT), el sistema solamente imprime información acerca de un subsistemacuando la descripción del subsistema contiene una entrada de comunicaciones queespecifica un perfil de usuario.

Si un informe determinado imprime menos información de la prevista, consulte lainformación de ayuda en línea para averiguar cuáles son los criterios de seleccióndel informe.


Tabla 8. Mandatos de los informes de seguridad

Opción de1

menú Nombre de mandato DescripciónArchivo de base de datosutilizado

1, 40 PRTADPOBJ Utilice el mandato Imprimir objetos que adoptanpara imprimir una lista de objetos que adoptan laautorización del perfil de usuario especificado.Puede especificar un solo perfil, un nombre deperfil genérico (como por ejemplo, todos losperfiles que empiezan por Q) o todos los perfilesde usuario del sistema.

Este informe tiene dos versiones. El informecompleto lista todos los objetos adoptados quecumplen los criterios de selección. El informe demodificaciones lista las diferencias entre losobjetos que se encuentran actualmente en elsistema y los objetos que había en el sistema laúltima vez que se ejecutó el informe.

QSECADPOLD2

2, 41 DSPAUDJRNE Utilice el mandato Visualizar entradas de diariode auditoría para visualizar o imprimirinformación acerca de las entradas del diario deauditoría de seguridad. Puede seleccionar tiposde entrada específicos, usuarios específicos y unperíodo de tiempo.

QASYxxJ43

3, 42 PRTPVTAUT *AUTL Cuando se utiliza el mandato Imprimirautorizaciones privadas para los objetos *AUTL,se recibe una lista de todas las listas deautorizaciones del sistema. El informe incluye alos usuarios que reciben autorización para cadalista así como qué clase de autorización tienen losusuarios sobre la lista. Utilice esta informaciónpara ayudarle a analizar las fuentes de laautorización de objetos en el sistema.

Este informe contiene tres versiones. El informecompleto contiene todas las listas deautorizaciones del sistema. El informe demodificación lista las adiciones y los cambios enla autorización desde que se ejecutó por últimavez el informe. El informe de supresión lista losusuarios cuya autorización en la lista deautorizaciones se ha suprimido desde que seejecutó por última vez el informe.

Cuando se imprime el informe completo, tiene laopción de imprimir una lista de objetos que cadalista de autorizaciones protege. El sistema crearáun informe por separado para cada lista deautorizaciones.

QSECATLOLD2


||||||

|

Tabla 8. Mandatos de los informes de seguridad (continuación)

Opción de1


6, 45 PRTCMNSEC Utilice el mandato Imprimir seguridad decomunicaciones para imprimir los valoresrelativos a la seguridad para objetos que afectana las comunicaciones del sistema. Estos valoresafectan el modo en que los usuarios y los trabajospueden entrar en el sistema.

Este mandato genera dos informes: un informeque visualiza los valores de la listas deconfiguraciones del sistema y un informe quelista los parámetros relativos a la seguridad paradescripciones de línea, controladores ydescripciones de dispositivo. Cada uno de estosinformes contiene una versión completa y unamodificada.

QSECCMNOLD2

15, 54 PRTJOBDAUT Utilice el mandato Imprimir autorización dedescripción de trabajo para imprimir una lista dedescripciones de trabajos que especifican unperfil de usuario y tienen una autorización deuso público que no es *EXCLUDE. El informemuestra las autorizaciones especiales del perfil deusuario que está especificado en la descripcióndel trabajo.

Este informe tiene dos versiones. El informecompleto lista todos los objetos de descripción detrabajo que cumplen con los criterios deselección. El informe de modificaciones lista lasdiferencias entre los objetos de descripción detrabajo que se encuentran actualmente en elsistema y los objetos de descripción de trabajoque se encontraban en el sistema la última vezque se ejecutó el informe.

QSECJBDOLD2

Vea la nota 4 PRTPUBAUT Utilice el mandato Imprimir objetos conautorización de uso público para imprimir unalista de objetos cuya autorización de uso públicono es *EXCLUDE. Cuando se ejecuta el mandato,se especifica el tipo de objeto y la biblioteca o lasbibliotecas del informe. Utilice el mandatoPRTPUBAUT para imprimir información acercade los objetos a los que cada usuario del sistemapuede acceder.

Este informe tiene dos versiones. El informecompleto lista todos los objetos que cumplen loscriterios de selección. El informe de modificaciónlista las diferencias entre los objetos especificadosque se encuentran actualmente en el sistema ylos objetos (del mismo tipo en la mismabiblioteca) que estaban en el sistema la últimavez que se ejecutó el informe.

QPBxxxxxx5



Opción de1


Vea la nota 5. PRTPVTAUT Utilice el mandato Imprimir autorizacionesprivadas para imprimir una lista de lasautorizaciones privadas sobre los objetos del tipoespecificado en la biblioteca especificada. Utiliceeste informe para ayudarle a determinar lasfuentes de autorización sobre los objetos.

Este informe contiene tres versiones. El informecompleto lista todos los objetos que cumplen loscriterios de selección. El informe de modificaciónlista las diferencias entre los objetos especificadosque se encuentran actualmente en el sistema ylos objetos (del mismo tipo en la mismabiblioteca) que estaban en el sistema la últimavez que se ejecutó el informe. El informe desupresión lista los usuarios cuya autorizaciónsobre un objeto se ha suprimido desde que seimprimió por última vez el informe.

QPVxxxxxx5

24, 63 PRTQAUT Utilice el mandato Imprimir informe de colaspara imprimir los valores de seguridad de lascolas de salida y las colas de trabajos del sistema.Estos valores controlan quién puede visualizar ycambiar las entradas en la cola de salida o en lacola de trabajos.

Este informe tiene dos versiones. El informecompleto lista todos los objetos de cola de saliday de cola de trabajo que cumplen con los criteriosde selección. El informe de modificaciones listalas diferencias entre los objetos de la cola desalida y de la cola de trabajo que se encuentranactualmente en el sistema y los objetos de la colade salida y de la cola de trabajo que seencontraban en el sistema la última vez que seejecutó el informe.

QSECQOLD2

25, 64 PRTSBSDAUT Utilice el mandato Imprimir descripción desubsistema para imprimir las entradas decomunicaciones relativas a la seguridad de lasdescripciones de subsistema del sistema. Estosvalores controlan el modo en que se puede entrarel trabajo en el sistema y cómo se ejecutan lostrabajos. El informe solamente imprime unadescripción de subsistema si contiene entradas decomunicaciones que especifican un nombre deperfil de usuario.

Este informe tiene dos versiones. El informecompleto lista todos los objetos de descripción desubsistema que cumplen con los criterios deselección. El informe de modificaciones lista lasdiferencias entre los objetos de descripción delsubsistema y los objetos de descripción delsubsistema que se encontraban en el sistema laúltima vez que se ejecutó el informe.

QSECSBDOLD2



Opción de1


26, 65 PRTSYSSECA Utilice el mandato Imprimir atributos deseguridad del sistema para imprimir una lista devalores del sistema y atributos de redimportantes para la seguridad. El informemuestra el valor actual y el recomendado.

27, 66 PRTTRGPGM Utilice el mandato Imprimir programasdesencadenantes para imprimir una lista de losprogramas desencadenates que están asociadoscon los archivos de base de datos del sistema.

Este informe tiene dos versiones. El informecompleto lista cada programa desencadenate queestá asignado y cumple los criterios de selección.El informe de modificación lista los programasdesencadenantes que se han asignado desde quese ejecutó el informe por última vez.

QSECTRGOLD2

28, 67 PRTUSROBJ Utilice el informe Imprimir objetos de usuariopara imprimir una lista de los objetos de usuario(objetos no suministrados por IBM) que seencuentran en una biblioteca. Puede utilizar esteinforme para imprimir una lista de los objetos deusuario que están en una biblioteca (como porejemplo, QSYS) que se encuentra en la parte delsistema de la lista de bibliotecas.

Este informe tiene dos versiones. El informecompleto lista todos los objetos de usuario quecumplen con los criterios de selección. El informede modificaciones lista las diferencias entre losobjetos de usuario que se encuentran actualmenteen el sistema y los objetos de usuario que seencontraban en el sistema la última vez que seejecutó el informe.

QSECPUOLD2

29, 68 PRTUSRPRF Utilice el mandato Imprimir perfil de usuariopara analizar los perfiles de usuario que cumplenlos criterios especificados. Puede seleccionar losperfiles de usuario en función de lasautorizaciones especiales, la clase de usuario ouna discrepancia entre las autorizacionesespeciales y la clase de usuario. Puede imprimirinformación de autorización, información deentorno, información de contraseña oinformación de nivel de contraseña.

30, 69 PRTPRFINT Utilice el mandato Imprimir información internade perfil para imprimir un informe de lainformación interna sobre el número de entradas.



Opción de1


31, 70 CHKOBJITG Utilice el mandato Comprobar integridad deobjetos para determinar si los objetos operativos(como por ejemplo, los programas) se hancambiado sin utilizar un compilador. Estemandato le puede ayudar a detectar intentos deintroducir un programa de virus en el sistema ode cambiar un programa para seguirinstrucciones no autorizadas. La publicacióniSeries Security Reference proporciona másinformación acerca del mandato CHKOBJITG.

Notas:

1. Las opciones pertenecen al menú SECBATCH.

2. Este archivo está en la biblioteca QUSRSYS.

3. xx es el tipo de entrada de diario de dos caracteres. Por ejemplo, el archivo de salida modelo para las entradasde diario AE es QSYS/QASYAEJ4. Los archivos de salida del modelo se describen en el Apéndice F del manualiSeries Security Reference.

4. El menú SECBATCH contiene opciones para los tipos de objetos que normalmente conciernen a losadministradores de seguridad. Por ejemplo, utilice las opciones 11 o 50 para ejecutar el mandato PRTPUBAUTen los objetos tipo *FILE. Utilice las opciones generales (18 y 57) para especificar el tipo de objeto.

5. El menú SECBATCH contiene opciones para los tipos de objetos que normalmente conciernen a losadministradores de seguridad. Por ejemplo, las opciones 12 o 51 ejecutan el mandato PRTPVTAUT en losarchivos tipo *FILE. Utilice las opciones generales (19 y 58) para especificar el tipo de objeto.

6. xxxxxx en el nombre del archivo es el tipo de objeto. Por ejemplo, el archivo de los objetos de programa recibe elnombre de QPBPGM para las autorizaciones de uso público y QPVPGM para las autorizaciones privadas. Losarchivos están en la biblioteca QUSRSYS.

El archivo contiene un miembro para cada biblioteca para la que se ha impreso el informe. El nombre demiembro es el mismo que el nombre de biblioteca.

Mandatos para personalizar la seguridadLa Tabla 9 describe los mandatos que puede utilizar para personalizar la seguridaden su sistema. Estos mandatos se encuentran en el menú SECTOOLS.

Tabla 9. Mandatos para personalizar el sistema

Opción de1


60 CFGSYSSEC Utilice el mandato Configurar seguridad del sistemapara establecer los valores del sistema relativos a laseguridad en sus valores recomendados. El mandatotambién establece la auditoría de seguridad en elsistema. El apartado “Valores establecidos por elmandato Configurar seguridad del sistema” en lapágina 53 describe las acciones del mandato.Nota: Para obtener recomendaciones sobre seguridadpersonalizadas para su situación concreta, ejecute elAsistente de seguridad iSeries 400 o el Asesor deseguridad iSeries 400 en lugar de ejecutar estemandato. Vea el “Capítulo 3. Asistente de seguridad yAsesor de seguridad iSeries 400” en la página 21 paraobtener información sobre estas herramientas.


|

Tabla 9. Mandatos para personalizar el sistema (continuación)

Opción de1


61 RVKPUBAUT Utilice el mandato Revocar autorización de usopúblico para establecer la autorización de uso públicoen *EXCLUDE para un conjunto de mandatosrelativos a la seguridad en el sistema. El apartado“Acciones del mandato Revocar autorización de usopúblico” en la página 55 lista las acciones que elmandato RVKPUBAUT lleva a cabo.

Notas:


Valores establecidos por el mandato Configurar seguridad delsistema

La Tabla 10 lista los valores del sistema que se establecen al ejecutar el mandatoCFGSYSSEC. El mandato CFGSYSSEC ejecuta un programa que se denominaQSYS/QSECCFGS.

Tabla 10. Valores establecidos por el mandato CFGSYSSEC

Nombre de valor delsistema Valor Descripción del valor del sistema

QAUTOCFG 0 (No) Configuración automática de nuevos dispositivos

QAUTOVRT 0 Número de descripciones de dispositivos virtuales que el sistemacreará automáticamente si no hay ningún dispositivo disponiblepara su utilización

QALWOBJRST *NONE Si se pueden restaurar los programas de estado del sistema y losprogramas que adoptan autorización

QDEVRCYACN *DSCMSG (Desconectarcon mensaje)

Acción del sistema cuando se restablecen las comunicaciones

QDSCJOBITV 120 Período de tiempo antes de que el sistema emprenda una acciónen un trabajo desconectado

QDSPSGNINF 1 (Sí) Si los usuarios visualizan la pantalla de información de inicio desesión

QINACTITV 60 Período de tiempo antes de que el sistema emprenda una acciónen un trabajo interactivo inactivo

QINACTMSGQ *ENDJOB Acción que el sistema emprende para un trabajo inactivo

QLMTDEVSSN 1 (Sí) Si los usuarios se ven limitados a iniciar la sesión en undispositivo cada vez

QLMTSECOFR 1 (Sí) Si los usuarios *ALLOBJ y *SERVICE tienen como límites losdispositivos especificados

QMAXSIGN 3 Cuántos intentos de inicio de sesión consecutivos e insatisfactoriosse permiten

QMAXSGNACN 3 (Ambos) Si el sistema inhabilita la estación de trabajo o el perfil de usuariocuando se alcanza el límite QMAXSIGN

QRMTSIGN *FRCSIGNON Cómo maneja el sistema un intento de inicio de sesión remoto(paso a través o TELNET).

QRMTSVRATR 0 (Desactivar) Permite analizar remotamente el sistema.


Tabla 10. Valores establecidos por el mandato CFGSYSSEC (continuación)

Nombre de valor delsistema Valor Descripción del valor del sistema

QSECURITY 1 50 El nivel de seguridad que se aplica

QPWDEXPITV 60 Con qué frecuencia los usuarios deben cambiar sus contraseñas

QPWDMINLEN 6 Longitud mínima de las contraseñas

QPWDMAXLEN 8 Longitud máxima de las contraseñas

QPWDPOSDIF 1 (Sí) Si cada posición en una contraseña nueva debe ser diferente de lamisma posición en la última contraseña

QPWDLMTCHR Vea la nota 2 Caracteres que no se permiten en las contraseñas

QPWDLMTAJC 1 (Sí) Si los números adyacentes están prohibidos en las contraseñas

QPWDLMTREP 2 (No se puede repetirconsecutivamente)

Si los caracteres repetidos están prohibidos en las contraseñas

QPWDRQDDGT 1 (Sí) Si las contraseñas deben tener como mínimo un número

QPWDRQDDIF 1 (32 contraseñasexclusivas)

Cuántas contraseñas exclusivas se necesitan antes de que se puedarepetir una contraseña

QPWDVLDPGM *NONE El programa de salida de usuario que el sistema invoca antes devalidar las contraseñas

Notas:

1. Si actualmente está ejecutando con un valor QSECURITY de 40 o inferior, asegúrese de revisar la informacióndel Capítulo 2 de la publicación iSeries Security Reference antes de cambiar a un nivel de seguridad superior.

2. Los caracteres restringidos se almacenan en el ID de mensaje CPXB302 del archivo de mensajesQSYS/QCPFMSG. Se entregan como AEIOU@$#. Puede utilizar el mandato Cambiar descripción de mensaje(CHGMSGD) para cambiar los caracteres restringidos. El valor del sistema QPWDLMTCHR no se aplica en losniveles de contraseña 2 ó 3.

El mandato CFGSYSSEC también establece la contraseña en *NONE para lossiguientes perfiles de usuario suministrados por IBM:

QSYSOPRQPGMRQUSERQSRVQSRVBAS

Por último, el mandato CFGSYSSEC define la auditoría de seguridad mediante elmandato Cambiar auditoría de seguridad (CHGSECAUD). El mandatoCFGSYSSEC activa la auditoría de acción y objeto, además especifica el conjuntode acciones que se auditarán por omisión en el mandato CHGSECAUD.

Modificación del programaSi algunos de estos valores no son adecuados para su instalación, puede crear supropia versión del programa que procese el mandato. Haga lo siguiente:__ Paso 1. Utilice el mandato Recuperar fuente CL (RTVCLSRC) para copiar la

fuente para el programa que se ejecuta al utilizar el mandatoCFGSYSSEC. El programa que se recupera es QSYS/QSECCFGS.Cuando lo recupere, déle un nombre distinto.


__ Paso 2. Edite el programa y efectúe las modificaciones. A continuación,compílelo. Cuando lo compile, asegúrese de que no sustituye elprograma QSYS/QSECCFGS suministrado por IBM. Su programadeberá tener otro nombre.

__ Paso 3. Utilice el mandato Cambiar mandato (CHGCMD) para cambiar elprograma de modo que procese el parámetro de procesar mandato(PGM) para el mandato CFGSYSSEC. Establezca el valor PGM con elnombre de su programa. Por ejemplo, si crea un programa en labiblioteca QGPL que se denomina MYSECCFG, deberá escribir losiguiente:CHGCMD CMD(QSYS/CFGSYSSEC) PGM(QGPL/MYSECCFG)

Nota: Si modifica el programa QSYS/QSECCFGS, IBM no puedegarantizar ni dar por supuesto su fiabilidad, mantenimiento,rendimiento o funcionamiento. Las garantías implícitas decomercialización e idoneidad para una finalidad determinadaestán excluidas expresamente.

Acciones del mandato Revocar autorización de uso públicoPuede utilizar el mandato Revocar autorización de uso público (RVKPUBAUT)para establecer la autorización de uso público en *EXCLUDE para un conjunto demandatos y programas. El mandato RVKPUBAUT ejecuta un programa que sedenomina QSYS/QSECRVKP. Tal como se entrega, el programa QSECRVKP revocala autorización de uso público (estableciendo la autorización de uso público en*EXCLUDE) para los mandatos que aparecen listados en la Tabla 11 y las interfacesde programación de aplicaciones (API) que aparecen listadas en la Tabla 12 en lapágina 56. Cuando se recibe el sistema, estos mandatos y estas API tienen laautorización de uso público establecida en *USE.

Los mandatos que aparecen listados en la Tabla 11 y las API listadas en la Tabla 12en la página 56 realizan funciones en el sistema que pueden permitir que se

realicen acciones no permitidas. Como administrador de seguridad, debe autorizarexplícitamente a los usuarios para que ejecuten estos mandatos y programas enlugar de ponerlos a disposición de todos los usuarios del sistema.

Si ejecuta el mandato RVKPUBAUT, especifique la biblioteca que contiene losmandatos. El valor por omisión es la biblioteca QSYS. Si dispone de más de unidioma nacional en el sistema, debe ejecutar el mandato para cada bibliotecaQSYSxxx.

Tabla 11. Mandatos cuya autorización de uso público se establece con el mandatoRVKPUBAUTADDAJEADDCFGLEADDCMNEADDJOBQEADDPJEADDRTGEADDWSECHGAJECHGCFGLCHGCFGLECHGCMNECHGCTLAPPCCHGDEVAPPC

CHGJOBQECHGPJECHGRTGECHGSBSDCHGWSECPYCFGLCRTCFGLCRTCTLAPPCCRTDEVAPPCCRTSBSDENDRMTSPTRMVAJERMVCFGLE

RMVCMNERMVJOBQERMVPJERMVRTGERMVWSERSTLIBRSTOBJRSTS36FRSTS36FLRRSTS36LIBMSTRRMTSPTSTRSBSWRKCFGL


Las API de la Tabla 12 se encuentran todas en la biblioteca QSYS:

Tabla 12. Programas cuya autorización de uso público se establece con el mandatoRVKPUBAUTQTIENDSUPQTISTRSUPQWTCTLTRQWTSETTRQY2FTML

En la V3R7, al ejecutar el mandato RVKPUBAUT, el sistema establece autorizaciónde uso público en *USE para el directorio raíz (a menos que ya sea *USE oinferior).

Modificación del programaSi algunos de estos valores no son adecuados para su instalación, puede crear supropia versión del programa que procesa el mandato. Haga lo siguiente:__ Paso 1. Utilice el mandato Recuperar fuente CL (RTVCLSRC) para copiar el

fuente del programa que se ejecuta al utilizar el mandatoRVKPUBAUT. El programa que se recupera es QSYS/QSECRVKP.Cuando lo recupere, déle un nombre distinto.

__ Paso 2. Edite el programa y efectúe las modificaciones. A continuación,compílelo. Cuando lo compile, asegúrese de que no sustituye elprograma QSYS/QSECRVKP suministrado por IBM. Su programadeberá tener otro nombre.

__ Paso 3. Utilice el mandato Cambiar mandato (CHGCMD) para cambiar elprograma de modo que procese el parámetro de procesar mandato(PGM) para el mandato RVKPUBAUT. Establezca el valor PGM con elnombre de su programa. Por ejemplo, si crea un programa en labiblioteca QGPL que se denomina MYRVKPGM, deberá escribir losiguiente:CHGCMD CMD(QSYS/RVKPUBAUT) PGM(QGPL/MYRVKPGM)

Nota: Si modifica el programa QSYS/QSECRVKP, IBM no puedegarantizar ni dar por supuesto su fiabilidad, mantenimiento,rendimiento o función. Las garantías implícitas decomercialización e idoneidad para una finalidad determinadaestán excluidas expresamente.


Parte 3. Consejos para la seguridad avanzada del sistema

Si todo aquel que es bueno fuera también listo,y todo aquel que es listo también fuera bueno,el mundo podría ser sin duda vistocomo un lugar mucho más placentero.

Elizabeth Wordsworth

RV3M1204-0


Capítulo 6. Utilización de la autorización sobre objetos paraproteger la información

El reto de un administrador de seguridad es proteger la información de laorganización sin contrariar a los usuarios del sistema. Debe asegurarse de que losusuarios tengan autorización suficiente para realizar los trabajos sin tener queotorgarles una autorización que les permita examinar el sistema y hacer cambiosno autorizados.

Consejo de seguridadLas autorizaciones demasiado estrictas pueden dar un mal resultado. Frente arestricciones demasiado estrictas en las autorizaciones los usuarios reaccionana veces compartiendo contraseñas entre ellos.

El sistema operativo OS/400 proporciona seguridad de objetos integrada. Losusuarios deben utilizar las interfaces que proporciona el sistema para acceder a losobjetos. Por ejemplo, si quiere acceder a un archivo de base de datos, debe utilizarmandatos o programas pensados para acceder a archivos de base de datos. Nopuede utilizar un mandato destinado a acceder a una cola de mensajes o a unasanotaciones de trabajo.

Siempre que se utiliza una interfaz del sistema para acceder a un objeto, el sistemaverifica si tiene autoridad sobre el objeto requerido por la interfaz. La autorizaciónsobre objetos es una herramienta poderosa y flexible para proteger las partidas delsistema. El reto de un administrador de seguridad es establecer un esquema deseguridad de objetos efectivo que pueda gestionar y mantener.

¿El sistema aplica siempre la autorización sobre objetos?La respuesta es sí y no. Siempre que se intenta acceder a un objeto, el sistemaoperativo comprueba la autorización que se tiene sobre el objeto. Sin embargo, si elnivel de seguridad del sistema (valor del sistema QSECURITY) se establece en 10 ó20, todos los usuarios están automáticamente autorizados para acceder a todos losobjetos ya que todos los perfiles de usuario tienen autorización especial *ALLOBJ.

Consejo acerca de la autorización sobre objeto: Si no está seguro de que estáutilizando la autorización sobre objetos, compruebe el valor del sistemaQSECURITY (nivel de seguridad). Si QSECURITY es 10 ó 20, no está utilizando laseguridad sobre objetos.

Debe realizar una planificación y una preparación antes de cambiar a un nivel deseguridad 30 o superior. De lo contrario, los usuarios no serán capaces de accedera la información necesaria.

El tema Seguridad y planificación básica del sistema del Information Centerproporciona un método para analizar sus aplicaciones y decidir cómo configurarála seguridad sobre objetos. Si aún no está utilizando la seguridad sobre objetos o sisu esquema de seguridad sobre objetos se ha quedado anticuado, lea este temacomo iniciación.


|||

|||||

El legado de la seguridad de menúsEl iSeries estaba diseñado originariamente como un producto de continuación delS/36 y del S/38. Muchas instalaciones de iSeries eran instalaciones de S/36 oinstalaciones de S/38. Para controlar lo que los usuarios podían hacer, losadministradores de seguridad de los primeros sistemas utilizaban a menudo unatécnica llamada seguridad de menús o control de acceso a menús.

El control de acceso a menús significa que cuando un usuario inicia la sesión, elusuario obtiene un menú como el siguiente:

El usuario puede realizar solamente las funciones que están en el menú. El usuariono puede acceder a una línea de mandatos del sistema para llevar a cabo funcionesque no estén en el menú. En teoría, el administrador de seguridad no tiene quepreocuparse de la autorización sobre los objetos ya que los menús y los programascontrolan lo que pueden hacer los usuarios.

El iSeries proporciona diversas opciones de perfil de usuario como ayuda para elcontrol de acceso a menús; puede utilizar:v El parámetro Menú inicial (INLMNU) para controlar qué menú verá primero el

usuario tras iniciar la sesión.v El parámetro Programa inicial (INLPGM) para ejecutar un programa de

configuración antes de que el usuario vea un menú. O bien puede utilizar elparámetro INLPGM para restringir a un usuario a la utilización de un únicoprograma.

v El parámetro Limitar posibilidades (LMTCPB) para restringir a un usuario a unconjunto limitado de mandatos. También evita que el usuario especifique unprograma o menú inicial distinto en la pantalla Inicio de sesión. (El parámetroLMTCPB sólo limita mandatos entrados desde la línea de mandatos).

Limitaciones del control de acceso a menúsLos sistemas informáticos y los usuarios de sistemas informáticos han cambiadomucho en los últimos años. Se dispone de muchas herramientas tales comoprogramas de consulta y hojas de cálculo, de forma que los usuarios puedenprogramar por su cuenta para quitar carga de trabajo a los departamentos dedesarrollo de software. Algunas herramientas, tales como SQL o ODBC,proporcionan la posibilidad de ver y cambiar información. Habilitar estasherramientas dentro de una estructura de menús es muy difícil.

Las estaciones de trabajo de función fija (“pantalla verde”) se están sustituyendorápidamente por PC y redes de sistema a sistema. Si el sistema forma parte de unared, los usuarios pueden entrar en él sin haber visto nunca una pantalla de iniciode sesión o un menú.

OEMENU Menú de Entrada de Pedidos

1. Trabajar con registros de clientes2. Trabajar con pedidos3. Trabajar con historial de pedidos4. Trabajar con precios5. Trabajar con contratos

Seleccione el número de opción: ___

Figura 5. Menú de entrada de pedidos de ejemplo


El administrador de seguridad que intenta imponer el control de acceso a menússe encuentra con dos problemas fundamentales:v Si se tiene éxito en la limitación de menús para los usuarios, estos estarán

probablemente descontentos porque su capacidad de utilizar herramientasmodernas estará limitada.

v Si no se tiene éxito, se estará poniendo en peligro información confidencial degran importancia que el control de acceso a menús debería proteger. Cuando elsistema participa en una red, la capacidad de imponer el control de acceso amenús disminuye. Por ejemplo, el parámetro LMTCPB se aplica sólo a losmandatos que se entran desde una línea de mandatos de una sesión interactiva.El parámetro LMTCPB no afecta a las peticiones de sesiones de comunicación,tales como la transferencia de archivos de PC, FTP o los mandatos remotos.

Consejos para mejorar el control de acceso a menús con laseguridad de objetos

Con las numerosas opciones nuevas disponibles para conectar sistemas, unesquema de seguridad del iSeries viable para el futuro no puede basarseúnicamente en el control de acceso a menús.En este tema se proporcionansugerencias para avanzar hacia un entorno de seguridad que complemente elcontrol de acceso a menús.

El tema Seguridad básica del sistema y planificación del Information Center describeuna técnica para analizar la autorización que los usuarios deben tener sobre losobjetos para ejecutar las aplicaciones actuales. Asigne los usuarios a los grupos ydé a los grupos la autorización adecuada. Este acercamiento es razonable y lógico.Sin embargo, si el sistema ha estado funcionando durante muchos años y tienemuchas aplicaciones, la tarea de analizar las aplicaciones y configurar lasautorizaciones sobre objetos parece excesiva.

Consejo de autorización sobre objetos: Sus menús actuales combinados conprogramas que adoptan la autorización de los propietarios de los programaspueden proporcionar un paso más allá del control de acceso de menú. Asegúresede proteger tanto los programas que adoptan autorización como los perfiles deusuario que los poseen.

Probablemente será capaz de utilizar los menús actuales como ayuda paraconfigurar un entorno de transición mientras se analizan gradualmente lasaplicaciones y los objetos. A continuación sigue un ejemplo que utiliza el menúEntrada de Pedidos (OEMENU) (Figura 5 en la página 60) y los archivos yprogramas asociados al mismo.

Preparación de un entorno de transición–EjemploEste ejemplo empieza con las suposiciones y los requisitos siguientes:v Todos los archivos están en la biblioteca ORDERLIB.v No conoce los nombres de todos los archivos. Tampoco sabe qué autorización

necesitan las opciones de menú para los distintos archivos.v El menú y los programas que llama están en una biblioteca llamada

ORDERPGM.v Quiere que todos los que puedan iniciar la sesión en el sistema sean capaces de

ver información en todos los archivos de pedidos, archivos de clientes y archivosde artículos (con consultas u hojas de cálculo, por ejemplo).

Capítulo 6. Utilización de la autorización sobre objetos para proteger la información 61

v Sólo los usuarios cuyo menú de inicio de sesión sea el menú OEMENU debentener capacidad para cambiar los archivos. Y, para hacerlo, deben utilizar losprogramas del menú.

v Los usuarios del sistema que no son administradores de seguridad no tienenautorización especial *ALLOBJ o *SECADM.

Haga lo siguiente para cambiar este entorno de control de acceso a menú paraajustarse a la necesidad de consultas:__ Paso 1. Haga una lista de los usuarios cuyo menú inicial sea OEMENU.

Puede utilizar el mandato Imprimir perfil de usuario (PRTUSRPRF*ENVINFO) para listar el entorno de cada perfil de usuario delsistema. El informe incluye el menú inicial, el programa inicial y labiblioteca actual. La Figura 13 en la página 84 muestra un ejemplo delinforme.

__ Paso 2. Asegúrese de que el objeto OEMENU (puede ser un objeto *PGM o unobjeto *MENU) es propiedad de un perfil de usuario que no se utilizapara el inicio de sesión. El perfil de usuario debe inhabilitarse o teneruna contraseña *NONE. Para este ejemplo suponga que OEOWNERposee el objeto de programa OEMENU.

__ Paso 3. Asegúrese de que el perfil de usuario que posee el programaOEMENU no es un perfil de grupo. Puede utilizar el mandatosiguiente:DSPUSRPRF USRPRF(OEOWNER) TYPE(*GRPMBR)

__ Paso 4. Cambie el programa OEMENU para adoptar la autorización del perfilde usuario OEOWNER. (Utilice el mandato CHGPGM para cambiar elparámetro USRPRF por *OWNER.)

Nota: Los objetos *MENU no pueden adoptar autorización. SiOEMENU es un objeto *MENU, puede adaptar este ejemplollevando a cabo una de las acciones siguientes:v Cree un programa para visualizar el menú.v Utilice la autorización adoptada para los programas que se

ejecutan cuando el usuario selecciona opciones del menúOEMENU.

__ Paso 5. Establezca la autorización de uso público de todos los archivos deORDERLIB en *USE tecleando los dos mandatos siguientes:RVKOBJAUT OBJ(ORDERLIB/*ALL) OBJTYPE(*FILE) USER(*PUBLIC)

AUT(*ALL)GRTOBJAUT OBJ(ORDERLIB/*ALL) OBJTYPE(*FILE) USER(*PUBLIC)

AUT(*USE)

Recuerde que si selecciona la autorización *USE, los usuarios puedencopiar el archivo utilizando la transferencia de archivos de PC o FTP.

__ Paso 6. Proporcione autorización *ALL sobre los archivos al perfil que posee elprograma tecleando lo siguiente:GRTOBJAUT OBJ(ORDERLIB/*ALL) OBJTYPE(*FILE) USER(OEOWNER)

AUT(*ALL)

Para la mayoría de las aplicaciones es suficiente la autorización*CHANGE sobre los archivos. Sin embargo, las aplicaciones puedenrealizar funciones, tales como borrar archivos físicos, que necesitan unaautorización superior a *CHANGE. Es posible que deba analizar lasaplicaciones y proporcionar sólo la autorización mínima necesaria paracada aplicación. Sin embargo, durante el período de transición,


adoptando la autorización *ALL, se evitan anomalías en lasaplicaciones que puedan deberse a una autorización insuficiente.

__ Paso 7. Restrinja la autorización para los programas de la biblioteca depedidos tecleando lo siguiente:GRTOBJAUT OBJ(ORDERPGM/*ALL) OBJTYPE(*PGM) USER(*PUBLIC)

AUT(*EXCLUDE)

__ Paso 8. Otorgue al perfil OEOWNER autorización sobre los programas de labiblioteca tecleando lo siguiente:GRTOBJAUT OBJ(ORDERPGM/*ALL) OBJTYPE(*PGM) USER(OEOWNER)

AUT(*USE)

__ Paso 9. Otorgue a los usuarios identificados en el paso 1 autorización sobre elprograma de menú tecleando lo siguiente para cada usuario:GRTOBJAUT OBJ(ORDERPGM/OEMENU) OBJTYPE(*PGM)

USER(nombre de perfil de usuario) AUT(*USE)

Cuando haya terminado estos pasos, todos los usuarios del sistema que no sehayan excluido explícitamente serán capaces de acceder (pero no de cambiar) a losarchivos de la biblioteca ORDERLIB. Los usuarios con autorización sobre elprograma OEMENU tendrán capacidad de utilizar los programas que están en elmenú para actualizar archivos de la biblioteca ORDERLIB. Sólo los usuarios quetengan autorización sobre el programa OEMENU serán capaces de cambiar losarchivos de esta biblioteca. Una combinación de seguridad de objetos y control deacceso a menú protege los archivos.

Al completar pasos similares para todas las bibliotecas que contienen datos deusuario, se habrá creado un esquema simple para controlar las actualizaciones debase de datos. Este método evita que los usuarios del sistema actualicen archivosde base de datos, excepto cuando utilicen los menús y programas aprobados. Almismo tiempo, los archivos de base de datos quedan disponibles para que losusuarios los vean, los analicen y los copien mediante herramientas de soporte dedecisiones o mediante enlaces desde otro sistema o desde un PC.

Consejo de autorización sobre objetos: Cuando el sistema participa en una red, laautorización *USE puede proporcionar más autorización de la esperada. Porejemplo, con FTP, puede hacer una copia de un archivo en otro sistema(incluyendo un PC) si tiene autorización *USE sobre el archivo.

Utilización de la seguridad de bibliotecas para complementarla seguridad de menús

Para acceder a un objeto de biblioteca debe tener autorización sobre el objeto ysobre la biblioteca. La mayoría de las operaciones necesitan la autorización*EXECUTE o la autorización *USE sobre la biblioteca.

Dependiendo de la situación, puede ser capaz de utilizar la autorización debiblioteca como una manera simple de asegurar objetos. Por ejemplo, suponga queen el ejemplo del menú de Entrada de pedidos, todos los que tengan autorizaciónsobre el menú de Entrada de pedidos puedan utilizar todos los programas de labiblioteca ORDERPGM. En lugar de asegurar los programas individuales, puedeestablecer la autorización de uso público sobre la biblioteca ORDERPGM en*EXCLUDE. Puede otorgar entonces autorización *USE sobre la biblioteca a perfilesde usuario específicos, lo que les permitirá utilizar los programas de la biblioteca.(Esto da por supuesto que la autorización de uso público para los programas es*USE o mayor).


La autorización sobre bibliotecas puede ser un método simple y eficiente deadministrar la autorización sobre objetos. Sin embargo debe asegurarse de queconoce el contenido de las bibliotecas que se aseguran de forma que noproporcione acceso no intencionado a los objetos.

Consejos para preparar la propiedad de objetosLa propiedad de objetos en el sistema es una parte importante del esquema deautorización sobre objetos. Por omisión, el propietario de un objeto tieneautorización *ALL sobre el objeto. El capítulo 5 de la publicación iSeries SecurityReference proporciona recomendaciones y ejemplos para planificar la propiedad delos objetos. A continuación se proporcionan algunos consejos:v Por lo general, los perfiles de grupo no deben ser propietarios de objetos. Si un

perfil de grupo posee un objeto, todos los miembros del grupo tendránautorización *ALL sobre el objeto a menos que el miembro del grupo estéexcluido de forma explícita.

v Si utiliza la autorización adoptada, considere si los perfiles de usuario de lospropios programas deben poseer también objetos de aplicación tales comoarchivos. Probablemente no querrá que los usuarios que ejecutan los programasque adoptan autorización tengan autorización *ALL sobre los archivos.

Si está utilizando el Operations Navigator, lo conseguirá completando los cambiosutilizando la función de políticas de seguridad. Para obtener más información,consulte el iSeries Information Center (vea “Requisitos e información relacionada”en la página xii para conocer más detalles).

Consejos para la autorización sobre objetos para mandatos delsistema y programas

A continuación se proporcionan varias sugerencias para cuando se restringe laautorización a los objetos proporcionados por IBM:v Cuando se tiene más de un idioma nacional en el sistema, el sistema tiene más

de una biblioteca del sistema (QSYS). El sistema tiene una biblioteca QSYSxxxxpara cada idioma nacional del sistema. Si va a utilizar la autorización sobreobjetos para controlar los mandatos del sistema, acuérdese de asegurar elmandato en la biblioteca QSYS y en todas las bibliotecas QSYSxxx del sistema.

v La biblioteca del System/38 proporciona a veces un mandato cuya función esequivalente a los mandatos que quiere restringir. Asegúrese de restringir elmandato equivalente en la biblioteca QSYS38.

v Si tiene el entorno System/36, puede necesitar restringir programas adicionales.Por ejemplo, el programa QY2FTML proporciona transferencia de archivos delSystem/36.

Consejos para la auditoría de funciones de seguridad

Auditoría de la seguridadEste capítulo describe técnicas para realizar una auditoría de la eficacia de laseguridad en su sistema. Los motivos para realizar una auditoría de la seguridaddel sistema pueden ser diversos:v Para evaluar si el plan de seguridad es completo.v Para asegurarse de que los controles de seguridad planificados están en

funcionamiento. Este tipo de auditoría suele realizarla el responsable de


||||

seguridad como parte de la administración diaria de la seguridad. También selleva a cabo, a veces más detalladamente, como parte de una revisión periódicade la seguridad por parte de auditores internos o externos.

v Para asegurarse de que la seguridad del sistema sigue el ritmo de los cambiosque se realizan en el entorno del sistema. Estos son algunos ejemplos de loscambios que afectan a la seguridad:– Objetos nuevos creados por usuarios del sistema– Usuarios nuevos admitidos en el sistema– Cambio de la propiedad de objetos (autorización no ajustada)– Cambio de responsibilidades (grupo de usuarios modificado)– Autorización temporal (no revocada a tiempo)– Instalación de nuevos productos

v Para prepararse para un evento futuro como, por ejemplo, instalar una nuevaaplicación, ir a un nivel de seguridad superior o configurar una red decomunicaciones.

Las técnicas descritas en este capítulo son apropiadas para todas esas situaciones.Los elementos para los que realice la auditoría y la frecuencia con que lo hagadependerán del tamaño y de las necesidades de seguridad de su organización. Lafinalidad de este capítulo es averiguar qué información hay disponible, cómoobtenerla y por qué es necesaria, en lugar de ofrecer directrices sobre la frecuenciade las auditorías.

Este capítulo consta de tres partes:v Una lista de comprobación de los elementos de seguridad que pueden

planificarse y auditarse.v Información sobre la puesta a punto y la utilización del diario de auditoría

proporcionado por el sistema.v Otras técnicas disponibles para reunir información sobre seguridad en el sistema.

La auditoría de seguridad implica el uso de mandatos en el sistema iSeries y elacceso a información de anotaciones y diarios en el sistema. Puede interesarle crearun perfil especial para que lo utilice quien tenga que realizar una auditoría deseguridad de su sistema. El perfil del auditor necesitará la autorización especial*AUDIT para poder modificar las características de auditoría de su sistema.Algunas de las tareas de auditoría sugeridas en este capítulo requieren un perfil deusuario con la autorización especial *ALLOBJ y *SECADM. Asegúrese de establecerla contraseña para el perfil de auditor como *NONE al finalizar el periodo deauditoría.


Análisis de perfiles de usuarioPuede visualizar o imprimir una lista completa de todos los usuarios del sistemacon el mandato Visualizar usuarios autorizados (DSPAUTUSR). La lista puedeordenarse por nombre de perfil o nombre de perfil de grupo. A continuación seproporciona un ejemplo del orden del perfil de grupo:


Impresión de perfiles de usuario seleccionadosPuede utilizar el mandato Visualizar perfil de usuario (DSPUSRPRF) para crear unarchivo de salida, que puede procesar utilizando una herramienta de consulta.DSPUSRPRF USRPRF(*ALL) +

TYPE(*BASIC) OUTPUT(*OUTFILE)

Puede utilizar una herramienta de consulta para crear diversos informes de análisisde su archivo de salida, por ejemplo:v Una lista de todos los usuarios que tienen las autorizaciones especiales *ALLOBJ

y *SPLCTL.v Una lista de todos los usuarios ordenados por un campo de perfil de usuario,

por ejemplo programa inicial o clase de usuario.

Puede crear programas de consulta para generar distintos informes del archivo desalida. Por ejemplo:v Listar todos los perfiles de usuarios que tengan autorizaciones especiales,

seleccionando registros en los que el campo UPSPAU no sea *NONE.v Listar todos los usuarios a los que les esté permitido entrar mandatos,

seleccionando registros en los que el campo Limitar posibilidades (denominadoUPLTCP en el archivo de salida de base de datos modelo) sea *NO o *PARTIAL.

v Listar todos los usuarios que tengan un menú inicial o programa inicial concreto.v Listar los usuarios inactivos fijándose en el campo de fecha de último inicio de

sesión.

Examen de perfiles de usuario de gran tamañoLos perfiles de usuario con un gran número de autorizaciones, que parecen estarrepartidos por el sistema al azar, pueden reflejar una falta de planificación de laseguridad. A continuación se muestra un método para localizar los perfiles deusuario de gran tamaño y cómo evaluarlos:1. Utilice el mandato Visualizar descripción de objeto (DSPOBJD) para crear un

archivo de salida que contenga información sobre todos los perfiles de usuariodel sistema:DSPOBJD OBJ(*ALL) OBJTYPE(*USRPRF) +

DETAIL(*BASIC) OUTPUT(*OUTFILE)

Visualizar usuarios autorizados

Perfil Perfil Último SinGrupo usuario cambio contraseña TextoDPTSM contraseña

ANDERSOR 08/04/9x Roger AndersVINCENTM 09/15/9x Mark Vincent

DPTWHANDERSOR 08/04/9x Roger AndersWAGNERR 09/06/9x Rose Wagner

QSECOFR JONESS 09/20/9x Sharon JonesHARRISOK 08/29/9x Ken Harrison

*NO GROUPDPTSM 09/05/9x X Ventas y MarketingDPTWH 08/13/9x X AlmacénRICHARDS 09/05/9x Janet RichardsSMITHJ 09/18/9x John Smith


2. Cree un programa de consulta para listar el nombre y el tamaño de cada perfilde usuario, en secuencia descendente por su tamaño.

3. Imprima información detallada sobre los perfiles de usuario más grandes yevalúe las autorizaciones y los objetos que poseen para ver si son losapropiados:DSPUSRPRF USRPRF(nombre-perfil-usuario) +

TYPE(*OBJAUT) OUTPUT(*PRINT)DSPUSRPRF USRPRF(nombre-perfil-usuario) +

TYPE(*OBJOWN) OUTPUT(*PRINT)

Algunos perfiles de usuario suministrados por IBM son de gran tamaño debidoal número de objetos que poseen. No suele ser necesario listarlos y analizarlos.No obstante, deberá comprbar si hay programas que adoptan la autorización delos perfiles de usuario suministrados por IBM que tengan la autorizaciónespecial *ALLOBJ, por ejemplo QSECOFR y QSYS.


Consejos para analizar las autorizaciones sobre objetosPuede utilizar el siguiente método para determinar quién tiene autorización sobrelas bibliotecas del sistema:1. Utilice el mandato DSPOBJD para listar todas las bibliotecas del sistema:

DSPOBJD OBJ(*ALL) OBJTYPE(*LIB) OUTPUT(*PRINT)

2. Utilice el mandato Visualizar autorización sobre objeto (DSPOBJAUT) paralistar las autorizaciones sobre una biblioteca específica:DSPOBJAUT OBJ(nombre-biblioteca) OBJTYPE(*LIB) +

OUTPUT(*PRINT)

3. Utilice el mandato Visualizar biblioteca (DSPLIB) para listar los objetos de labiblioteca:DSPLIB LIB(nombre-biblioteca) OUTPUT(*PRINT)

Utilizando estos informes, puede determinar qué hay en una biblioteca y quiéntiene acceso a la misma. Si es necesario, puede utilizar el mandato DSPOBJAUTpara ver también la autorización para objetos seleccionados de la biblioteca.

Búsqueda de objetos alteradosPuede utilizar el mandato Comprobar integridad de objetos (CHKOBJITG) parabuscar objetos que hayan sido alterados. Un objeto alterado suele ser unaindicación de que alguien intenta entrar en su sistema. Puede interesarle ejecutareste mandato después de que alguien haya realizado alguna de las siguientesacciones:v Restaurar programas al sistemav Utilizar herramientas de servicio dedicado (DST)

Cuando ejecute el mandato, el sistema creará un archivo de base de datos quecontendrá información sobre cualquier posible problema de integridad. Puedecomprobar los objetos propiedad de un perfil, de varios perfiles distintos o detodos los perfiles. Puede buscar objetos cuyo dominio haya sido alterado. Tambiénpuede volver a calcular los valores de validación de programas para buscar objetosde los tipos *PGM, *SRVPGM, *MODULE y *SQLPKG que se hayan alterado.


Para ejecutar el programa CHKOBJITG es necesaria la autorización especial*AUDIT. El mandato puede tardar en ejecutarse debido a las exploraciones ycálculos que realiza. Deberá ejecutarlo en un momento en que el sistema no estémuy ocupado.

Nota: Los perfiles que poseen muchos objetos con muchas autorizaciones privadaspueden llegar a tener un gran tamaño. El tamaño de un perfil de propietarioafecta al rendimiento cuando se visualiza y se trabaja con la autorizaciónsobre objetos de propiedad y cuando se salvan o se restauran perfiles. Lasoperaciones del sistema también pueden resultar afectadas. Para evitarrepercusiones en el rendimiento o en las operaciones del sistema, distribuyala propiedad de los objetos entre múltiples perfiles. No asigne todos losobjetos (o casi todos) a un único perfil de propietario.

Análisis de programas que adoptan autorizacionesLos programas que adoptan la autorización de un usuario con la autorizaciónespecial *ALLOBJ representan un riesgo para la seguridad. Puede utilizarse elsiguiente método para buscar e inspeccionar esos programa:1. Para cada usuario con la autorización especial *ALLOBJ, utilice el mandato

Visualizar programas que adoptan (DSPPGMADP) para listar los programasque adoptan la autorización de ese usuario:DSPPGMADPUSRPRF(nombre perfil usuario) +

OUTPUT(*PRINT)

Nota: El tema “Impresión de perfiles de usuario seleccionados” en la página 66muestra cómo listar usuarios con autorización *ALLOBJ.

2. Utilice el mandato DSPOBJAUT para determinar quién tiene autorización parautilizar cada programa que adopta y qué autorización de uso público existepara el programa:DSPOBJAUT OBJ(nombre-biblioteca/nombre-programa) +

OBJTYPE(*PGM) OUTPUT(*PRINT)

3. Inspeccione el código fuente y la descripción de programa para evaluar losiguiente:v Si se impide al usuario del programa un exceso de funciones, por ejemplo

utilizar una línea de mandatos, mientras trabaja con el perfil adoptado.v Si el programa adopta el nivel de autorización mínimo necesario para la

función deseada. Las aplicaciones que utilizan anomalía de programa puedendiseñarse utilizando el mismo perfil de propietario para los objetos y losprogramas. Cuando la autorización del propietario del programa esadoptada, el usuario tiene autorización total (*ALL) sobre los objetos de laaplicación. En muchos casos, el perfil de propietario no necesita ningunaautorización especial.

4. Verifique cuándo se modificó el programa por última vez, utilizando elmandato DSPOBJD:DSPOBJD OBJ(nombre-biblioteca/nombre-programa) +

OBJTYPE(*PGM) DETAIL(*FULL)

Búsqueda de objetos alteradosPuede utilizar el mandato Comprobar integridad de objetos (CHKOBJITG) parabuscar objetos que hayan sido alterados. Un objeto alterado suele ser unaindicación de que alguien intenta entrar en su sistema. Puede interesarle ejecutareste mandato después de que alguien haya realizado alguna de las siguientesacciones:


v Restaurar programas al sistemav Utilizar herramientas de servicio dedicado (DST)

Cuando ejecute el mandato, el sistema creará un archivo de base de datos quecontendrá información sobre cualquier posible problema de integridad. Puedecomprobar los objetos propiedad de un perfil, de varios perfiles distintos o detodos los perfiles. Puede buscar objetos cuyo dominio haya sido alterado. Tambiénpuede volver a calcular los valores de validación de programas para buscar objetosde los tipos *PGM, *SRVPGM, *MODULE y *SQLPKG que se hayan alterado.

Para ejecutar el programa CHKOBJITG es necesaria la autorización especial*AUDIT. El mandato puede tardar en ejecutarse debido a las exploraciones ycálculos que realiza. Deberá ejecutarlo en un momento en que el sistema no estémuy ocupado.

Nota: Los perfiles que poseen muchos objetos con muchas autorizaciones privadaspueden llegar a tener un gran tamaño. El tamaño de un perfil de propietarioafecta al rendimiento cuando se visualiza y se trabaja con la autorización deobjetos propiedad y cuando se salvan o se restauran perfiles. Lasoperaciones del sistema también pueden resultar afectadas. Para evitarrepercusiones en el rendimiento o en las operaciones del sistema, distribuyala propiedad de los objetos entre múltiples perfiles. No asigne todos losobjetos (o casi todos) a un único perfil de propietario.


Consejos para gestionar el diario de auditoría y los receptoresde diario

El diario de auditoría, QSYS/QAUDJRN, está pensado solamente para la auditoríade seguridad. No deben registrarse objetos en el diario de auditoría. El control decompromiso no deberá utilizar el diario de auditoría. No deben enviarse entradasde usuario a este diario utilizando el mandato Enviar entrada de diario(SNDJRNE) o la API Enviar entrada de diario (QJOSJRNE).

Se utiliza una protección especial por bloqueo para asegurar que el sistema puedegrabar entradas de auditoría en el diario de auditoría. Cuando la auditoría estáactiva (el valor del sistema QAUDCTL no es *NONE), el trabajo árbitro del sistema(QSYSARB) mantiene un bloqueo en el diario QSYS/QAUDJRN. No podrá realizardeterminadas operaciones en el diario de auditoría mientras la auditoría estéactiva, por ejemplo:v Mandato DLTJRNv Mandato ENDJRNxxxv Mandato APYJRNCHGv Mandato RMVJRNCHGv Mandato DMPOBJ o DMPSYSOBJv Mover el diariov Restaurar el diariov Operaciones que funcionen con autorización, por ejemplo el mandato

GRTOBJAUTv Mandato WRKJRN


|||||

|

La información grabada en las entradas de diario de seguridad está descrita en elSeguridad, Manual de consulta. Todas las entradas de seguridad del diario deauditoría tienen un código de diario T. En el diario QAUDJRN, aparte de entradasde seguridad, aparecen entradas del sistema. Son entradas con un código de diarioJ, relacionadas con la carga del programa inicial (IPL) y operaciones generalesrealizadas en los receptores de diario (por ejemplo, salvar el receptor).

Si se producen daños en el diario o en su receptor actual de forma que no puedenregistrarse las entradas de auditoría, el valor del sistema QAUDENDACNdetermina la acción que llevará a cabo el sistema. La recuperación de un diario oun receptor de diario dañados es igual que para los demás diarios.

Puede interesarle hacer que el sistema gestione el cambio de receptores de diario.Especifique MNGRCV(*SYSTEM) al crear el diario QAUDJRN, o bien modifique eldiario para que tenga ese valor. Si especifica MNGRCV(*SYSTEM), el sistemadesconecta automáticamente el receptor cuando llega al umbral de tamaño y crea yconecta un nuevo receptor de diario. Esto se denomina gestión de cambio dediario del sistema.

Si especifica MNGRCV(*USER) para QAUDJRN, se enviará un mensaje a la cola demensajes del umbral especificado para el diario cuando el receptor de diarioalcance un umbral de almacenamiento. El mensaje indica que el receptor haalcanzado el umbral. Utilice el mandato CHGJRN para desconectar el receptor yconectar un nuevo receptor de diario. Esto evita que haya mensajes de error deEntrada no registrada journaled. Si recibe un mensaje, debe utilizar el mandatoCHGJRN para que continúe la auditoría de seguridad.

La cola de mensajes por omisión para un diario es QSYSOPR. Si su instalacióntiene un gran volumen de mensajes en la cola de mensajes QSYSOPR, puedeinteresarle asociar una cola de mensajes distinta, por ejemplo AUDMSG, al diarioQAUDJRN. Puede utilizar un programa de manejo de mensajes para supervisar lacola de mensajes AUDMSG. Cuando se recibe un aviso de umbral de diario(CPF7099), puede conectar un nuevo receptor automáticamente. Si utiliza la gestiónde cambio de diario del sistema, se enviará el mensaje CPF7020 a la cola demensajes del diario cuando se complete un cambio de diario del sistema. Puedesupervisar la aparición de este mensaje para saber cuándo debe realizar unaoperación de salvar los receptores de diario desconectados.

Atención: La función de limpieza automática suministrada utilizando menús deOperational Assistant no realiza la limpieza de los receptores QAUDJRN. Deberádesconectar, salvar y suprimir receptores QAUDJRN regularmente para evitarproblemas de espacio de disco.

Consulte la publicación Copia de seguridad y recuperación para obtener informacióncompleta sobre la gestión de diarios y receptores de diario.

Nota: El diario QAUDJRN se crea durante una IPL, si no existe, y el valor delsistema QAUDCTL se establece en un valor que no sea *NONE. Esto ocurresolamente tras una situación inusual como, por ejemplo, sustituir undispositivo de disco o borrar una agrupación de almacenamiento auxiliar.

Salvar y suprimir receptores de diario de auditoría

Visión general:


|||||||

Finalidad:Conectar un nuevo receptor de diario de auditoría; Salvary suprimir el receptor antiguo

Método:CHGJRN QSYS/QAUDJRN JRNRCV(*GEN) SAVOBJ(para salvar el receptor antiguo) DLTJRNRCV (parasuprimir el receptor antiguo)

Autorización:Autorización *ALL para el receptor de diario, autorización*USE para el diario

Entrada de diario:J (entrada del sistema en QAUDJRN)

Deberá desconectar el receptor de diario de auditoría actual regularmente yconectar uno nuevo por dos motivos:v El análisis de entradas de diario resulta más fácil si cada receptor de diario

contiene las entradas durante un período de tiempo específico razonable.v Los receptores de diario de gran tamaño pueden afectar al rendimiento del

sistema, además de ocupar un espacio valioso en el almacenamiento auxiliar.

El método recomendado es hacer que el sistema gestione los receptoresautomáticamente. Puede especificarlo utilizando el parámetro Gestionar receptor alcrear el diario.

Si ha configurado la auditoría de acciones y la auditoría de objetos para anotarmuchos eventos distintos, puede ser necesario especificar un valor de umbral altopara el receptor de diario. Si está gestionando los receptores manualmente, puedeser necesario cambiar los receptores de diario cada día. Si anota solamente unoscuantos eventos, puede interesarle cambiar los receptores para que concuerden conla planificación de copia de seguridad para la biblioteca que contiene el receptor dediario.

Utilice el mandato CHGJRN para desconectar un receptor y conectar uno nuevo.

Receptores de diario gestionados por el sistema: Si hace que el sistema gestionelos receptores, utilice el siguiente procedimiento para salvar todos los receptoresQAUDJRN desconectados y suprimirlos:1. Teclee WRKJRNA QAUDJRN. La pantalla le mostrará el receptor conectado

actualmente. No salve ni suprima este receptor.2. Utilice F15 para trabajar con el directorio de receptores. Se muestran todos los

receptores que han estado asociados con el diario y su estado.3. Utilice el mandato SAVOBJ para salvar cada receptor, excepto el receptor

conectado actualmente, que no se ha salvado todavía.4. Utilice el mandato DLTJRNRCV para suprimir cada receptor después de

salvarlo.

Nota: Una alternativa al procedimiento anterior podría ser utilizar la cola demensajes de diario y buscar el mensaje CPF7020, que indica que el cambiode diario del sistema se ha completado satisfactoriamente. Consulte el Copiade seguridad y recuperación para obtener más información sobre este soporte.


|

Receptores de diario gestionados por el usuario: Si elige gestionar los receptoresde diario manualmente, utilice el siguiente procedimiento para desconectar, salvary suprimir un receptor de diario:1. Teclee CHGJRN JRN(QAUDJRN) JRNRCV(*GEN). Este mandato hace lo siguiente:

a. Desconecta el receptor conectado actualmente.b. Crea un nuevo receptor con el siguiente número de secuencia.c. Conecta el nuevo receptor al diario.

Por ejemplo, si el receptor actual es AUDRCV0003, el sistema crea y conecta unnuevo receptor denominado AUDRCV0004.

El mandato Trabajar con atributos de diario (WRKJRNA) le indica qué receptorestá conectado actualmente: WRKJRNA QAUDJRN.

2. Utilice el mandato Salvar objeto (SAVOBJ) para salvar el receptor de diariodesconectado. Especifique el tipo de objeto *JRNRCV.

3. Utilice el mandato Suprimir receptor de diario (DLTJRNRCV) para suprimir elreceptor. Si intenta suprimir el receptor sin salvarlo, recibirá un mensaje deaviso.



Capítulo 7. Consejos para gestionar y supervisar laautorización

Hay disponible un conjunto de informes de seguridad para ayudarle a hacer unseguimiento de cómo está configurada la autorización en su sistema. Al ejecutarestos informes de forma inicial, puede imprimirlo todo (autorización para todos losarchivos o para todos los programas, por ejemplo).

Después de haber establecido la base de información, puede ejecutar regularmentelas versiones cambiadas de informe. La versiones cambiadas ayudan a identificarcambios relevantes para la seguridad en el sistema a los que se deba prestaratención. Por ejemplo, puede ejecutar el informe que muestre la autorización deuso público para los archivos cada semana. Puede pedir sólo la versión cambiadadel informe. En él se mostrarán los archivos nuevos en el sistema que estándisponibles para todo el mundo y los archivos existentes cuya autorización de usopúblico haya cambiado desde el último informe.

Hay dos menús disponibles para ejecutar herramientas de seguridad:v Utilice el menú SECTOOLS para ejecutar programas interactivamente.v Utilice el menú SECBATCH para ejecutar programas por lotes. El menú

SECBATCH tiene dos partes: una para someter los trabajos inmediatamente a lacola de trabajos y la otra para colocar los trabajos en el planificador de trabajos.

Si está utilizando el Operations Navigator, lo conseguirá completando los cambiosutilizando la función de políticas de seguridad. Para obtener más información,consulte el iSeries Information Center (vea “Requisitos e información relacionada”en la página xii para conocer más detalles).

Supervisión de la autorización de uso público sobre objetosPor motivos de simplicidad y rendimiento, la mayoría de los sistemas estánpreparados de tal modo que la mayor parte de los objetos están disponibles paramuchos usuarios. A los usuarios se les deniega explícitamente el acceso a ciertosobjetos confidenciales en lugar de tener autorización expresa para utilizar todos losobjetos. Algunos sistemas con requisitos de seguridad más restrictivos tienen elenfoque opuesto y proporcionan autorización sobre objetos explícitamente. En estossistemas, la mayoría de los objetos se crean con la autorización de uso público*EXCLUDE.

iSeries es un sistema basado en objetos con numerosos tipos de objetos.La mayorparte de ellos no contienen información confidencial ni realizan funcionesrelacionadas con la seguridad. Como administrador de seguridad de un iSeries conlos requisitos de seguridad habituales, tal vez desee concentrar su atención en losobjetos que precisan protección, como los archivos de base de datos y losprogramas.Para los demás tipos de objetos, puede establecer una autorización deuso público suficiente para las aplicaciones, que es *USE para la mayor parte detipos de objetos.

Puede utilizar el mandato Imprimir autorización de uso público (PRTPUBAUT)para imprimir información sobre los objetos a los que los usuarios públicos puedenacceder. (Un usuario público es aquel que tiene autorización de inicio de sesión yque no tiene autorización explícita sobre un objeto.) Al utilizar el mandato


||||

PRTPUBAUT, puede especificar los tipos de objeto y las bibliotecas o directoriosque desee examinar. En los menús SECBATCH y SECTOOLS hay opciones paraimprimir el Informe de objetos con autorización de uso público de los tipos deobjetos que suelen tener consideraciones de seguridad.

La Figura 6 muestra un ejemplo del Informe de objetos con autorización de usopúblico correspondiente a los objetos *FILE en la biblioteca CUSTLIB:

Puede imprimir la versión modificada de este informe regularmente para ver quéobjetos precisan su atención.

Gestión de la autorización para objetos nuevosOS/400 proporciona funciones para ayudarle a gestionar la autorización y lapropiedad de nuevos objetos del sistema. Cuando un usuario crea un objeto nuevo,el sistema determina lo siguiente:v Quién será el propietario del objetov Cuál es la autorización pública para el objetov Si el objeto tendrá autorizaciones privadasv Dónde colocar el objeto (qué biblioteca o directorio)v Si se auditará el acceso al objeto

El sistema utiliza valores del sistema, parámetros de biblioteca y parámetros deperfil de usuario para tomar estas decisiones. “Assigning Authority andOwnership to New Objects ” en el capítulo 5 de la publicación iSeries SecurityReference proporciona numerosos ejemplos de las opciones disponibles.

Puede utilizar el mandato PRTUSRPRF para imprimir los parámetros de perfil deusuario que afectan a la propiedad y a la autorización para objetos nuevos. LaFigura 11 en la página 82 muestra un ejemplo de este informe.

Supervisión de las listas de autorizaciones

Opciones del menú SECBATCH:3 para someter inmediatamente 42 para utilizar el planificador de trabajos

Puede agrupar los objetos con requisitos de seguridad similares utilizando unalista de autorizaciones. Conceptualmente, una lista de autorizaciones contiene unalista de los usuarios y las autorizaciones que estos tienen sobre los objetosprotegidos por la lista. Las listas de autorizaciones constituyen un modo eficaz degestionar la autorización de objetos similares del sistema. Sin embargo, en algunoscasos, dificultan el seguimiento de las autorizaciones sobre los objetos.

Objetos con autorización de uso público (informe completo)SYSTEM4

Tipo de objeto . . . . . . . . : *FILEBiblioteca especificada . . . : CUSTLIB

Lista de ----------Objeto----------- ------------Datos-----------Bibliot. Objeto Propiet. autoriz. Autoriz. Oper Gest Exist Alter Ref Lect Añad Act Supr EjecutarCUSTLIB CUSTMAST AROWNER *NONE *USE X X XCUSTLIB ORDERS AROWNER *NONE *CHANGE X X X X X XCUSTLIB PRICES AROWNER *NONE *USE X X XCUSTLIB TAXES AROWNER *NONE *CHANGE X X X X X X

Figura 6. Ejemplo de informe de objetos con autorización de uso público


Puede utilizar el mandato Imprimir autorización privada (PRTPVTAUT) paraimprimir información acerca de las autorizaciones sobre la lista de autorizaciones.La Figura 7 muestra un ejemplo del informe.

Este informe contiene la misma información que la pantalla Editar lista deautorizaciones (EDTAUTL). La ventaja del informe es que concentra la informaciónacerca de todas las listas de autorizaciones. Si, por ejemplo, está realizando lapuesta a punto de un grupo nuevo de objetos, puede buscar rápidamente en elinforme si hay alguna lista de autorizaciones que cumpla los requisitos para estosobjetos.

Puede imprimir una versión modificada del informe para ver las listas deautorizaciones nuevas o las que han sufrido cambios en las autorizaciones desde laúltima vez que se imprimió el informe. También tiene la opción de imprimir unalista de los objetos protegidos por cada lista de autorizaciones. La Figura 8 muestraun ejemplo del informe correspondiente a una lista de autorizaciones:

Puede utilizar este informe, por ejemplo, para ver el efecto de la adición de unnuevo usuario a una lista de autorizaciones (qué autorizaciones recibirá el usuario).

Consejos para utilizar Listas de autorizacionesOperations Navigator proporciona funciones de seguridad diseñadas para ayudarlea desarrollar un plan y una política de seguridad y para configurar el sistema paraajustarse a las necesidades de su empresa. Una de las funciones disponibles es eluso de listas de autorizaciones.

Las listas de autorizaciones tienen las siguientes características.v Una lista de autorizaciones agrupa los objetos con requisitos de seguridad

similares.v Una lista de autorizaciones contiene conceptualmente una lista de usuarios y

grupos y la autorización que cada uno tiene sobre los objetos protegidos por lalista.

Autorizaciones privadas (informe completo)SYSTEM4

Lista Grupo Gest ----------Objeto----------- ------------Datos-----------autoriz. Propiet. primario Usuario Autoriz. List. Opr Gest Exist Alter Ref Lect Añ. Act. Supr EjecutarLIST1 QSECOFR *NONE *PUBLIC *EXCLUDELIST2 BUDNIKR *NONE BUDNIKR *ALL X X X X X X X X X X X

*PUBLIC *CHANGE X X X X X XLIST3 QSECOFR *NONE *PUBLIC *EXCLUDELIST4 CJWLDR *NONE CJWLDR *ALL X X X X X X X X X X X

GROUP1 *ALL X X X X X X X X X X*PUBLIC *EXCLUDE

Figura 7. Informe de autorizaciones privadas para listas de autorizaciones

Visualizar objetos de lista de autorizacionesLista de autorizaciones . . . . . : CUSTAUTLBiblioteca . . . . . . . . . . . : QSYS

Propietario . . . . . . . . . . . : AROWNERGrupo primario . . . . . . . . . . : *NONE

GrupoObjeto Biblioteca Tipo Propietario primario TextoCUSTMAS CUSTLIB *FILE AROWNER *NONECUSTORD CUSTORD *FILE OEOWNER *NONE

Figura 8. Informe Visualizar objetos de lista de autorizaciones

Capítulo 7. Consejos para gestionar y supervisar la autorización 75

v Cada usuario y grupo puede tener una autorización distinta sobre el conjunto deobjetos que la lista protege.

v La autorización puede entregarse mediante la lista, en lugar de a grupos yusuarios individuales.

Las tareas que pueden realizarse utilizando listas de autorizaciones incluyen lassiguientes.v Crear una lista de autorizacionesv Modificar una lista de autorizaciones.v Añadir usuarios y grupos.v Modificar permisos de usuarios.v Visualizar objetos protegidos.

Para utilizar esta función haga lo siguiente.1. Inicie el programa Operations Navigator.2. Inicie la sesión en iSeries.3. Seleccione Seguridad y pulse en el recuadro + .4. Verá Listas de autorizaciones y Políticas. Pulse el botón derecho del ratón para

obtener el menú.5. Seleccione Lista de autorizaciones nueva y pulse el botón izquierdo del ratón.

Aparecerá una ventana. La Lista de autorizaciones nueva le permite efectuar losiguiente.v Uso: Permite el acceso a los atributos del objeto y el uso del objeto. El

público puede ver los objetos pero no puede modificarlos.v Cambio: Permite cambiar el contenido del objeto (con algunas excepciones).v Total: Permite todas las operaciones sobre el objeto, excepto las limitadas al

propietario. El usuario o grupo puede controlar la existencia del objeto,especificar la seguridad para el objeto, modificar el objeto y realizarfunciones básicas sobre el objeto. El usuario o grupo también puede cambiarla propiedad del objeto.

v Exclusión: Se prohiben todas las operaciones sobre el objeto. No se permiteel acceso al objeto ni operaciones sobre el mismo para los usuarios y gruposque tengan este permiso. Especifica que no se permite al público el uso delobjeto.

Al trabajar con listas de autorizaciones le interesa otorgar permisos tanto para losobjetos como para los datos. Los permisos sobre objetos que puede elegir seenumeran a continuación.v Operativo: Proporciona el permiso para ver la descripción de un objeto y utilizar

el objeto tal como determina el permiso de datos que el usuario o grupo tienesobre ese objeto.

v Gestión: Proporciona el permiso para especificar la seguridad para el objeto,mover o redenominar el objeto y añadir miembros a los archivos de base dedatos.

v Existencia: Proporciona el permiso para controlar la existencia y la propiedaddel objeto. El usuario o grupo puede suprimir el objeto, liberar almacenamientodel objeto, efectuar operaciones de salvar y restaurar para el objeto y transferirla propiedad del objeto. Si un usuario o un grupo tiene un permiso de salvarespecial, el usuario o grupo no necesitará el permiso de existencia para el objeto.

v Alteración (utilizado solamente para archivos de base de datos y paquetes SQL):Proporciona el permiso necesario para alterar los atributos de un objeto. Si elusuario o grupo tiene este permiso sobre un archivo de base de datos, el usuarioo grupo puede añadir o eliminar desencadenantes, añadir o eliminarrestricciones referenciales y de unicidad, así como modificar los atributos delarchivo de base de datos. Si el usuario o grupo tiene este permiso sobre un


paquete SQL, el usuario o grupo puede modificar los atributos del paquete SQL.Actualmente, este permiso se utiliza solamente para archivos de base de datos ypaquetes SQL.

v Referencia (utilizado solamente para archivos de base de datos y paquetes SQL):Proporciona el permiso necesario para referenciar un objeto desde otro objeto, deforma que las operaciones sobre ese objeto puedan ser restringidas por el otroobjeto. Si el usuario o grupo tiene este permiso sobre un archivo físico, elusuario o grupo puede añadir restricciones referenciales en las que el archivofísico sea el padre. Actualmente, este permiso se utiliza solamente para losarchivos de base de datos.

Los permisos sobre datos que puede elegir se enumeran a continuación.v Lectura: Proporciona el permiso necesario para obtener y visualizar el contenido

del objeto, por ejemplo ver registros de un archivo.v Adición: Proporciona el permiso para añadir entradas a un objeto, por ejemplo

añadir mensajes a una cola de mensajes o añadir registros a un archivo.v Actualización: Proporciona el permiso para cambiar las entradas de un objeto,

por ejemplo cambiar registros de un archivo.v Supresión: Proporciona el permiso para eliminar entradas de un objeto, por

ejemplo eliminar mensajes de una cola de mensajes o suprimir registros de unarchivo.

v Ejecución: Proporciona el permiso necesario para ejecutar un programa, unprograma de servicio o un paquete SQL. El usuario también puede ubicar unobjeto en una biblioteca o directorio.

Para obtener más información sobre cada proceso a medida que cree o edite suslistas de autorizaciones, consulte las pantallas de ayuda en línea para cada paso.

Herramienta de política de auditoríasEl Operations navigator tiene dos áreas de políticas. Son las siguientes:v Política de auditoríasv y Política de seguridad.

Para crear y utilizar políticas dentro del Operations navigator, deberá hacer losiguiente.1. Inicie el programa Operations Navigator.2. Inicie la sesión en iSeries.3. Seleccione Seguridad y pulse en el recuadro + .4. Verá Políticas en el menú; pulse con el botón derecho del ratón para obtener el

menú de políticas.5. Seleccione Explorar y pulse en el título con el botón izquierdo del ratón. Así

obtendrá una lista de las políticas y sus nombres. Por ejemplo: Política deauditorías y Política de seguridad con una descripción de cada una.

La política de auditorías es la función por la que el sistema hace una auditoría delacceso a un objeto y crea una entrada en el diario de auditoría. La política deauditorías hace un seguimiento de todos los usuarios que acceden a un objetoimportante del sistema, así como un seguimiento de todos los objetos a los queaccede un usuario concreto.

Para llegar a la ventana de propiedades de políticas de auditorías puede efectuaruna doble pulsación con el botón izquierdo del ratón en Políticas de auditorías , obien puede pulsar con el botón derecho del ratón para obtener un menú y


seleccionar Propiedades. La ventama Propiedades de Políticas de auditorías lepermitirá seleccionar y activar funciones de auditoría. Entre las acciones deauditoría se encuentran las siguientes.v Violación del filtro APPN: Realiza auditorías de las violaciones detectadas por

el cortafuegos de APPN. Se realizan auditorías de las violaciones del filtro debúsqueda de directorios y del filtro de punto final.

v Anomalía de autorización: Realiza auditorías de los intentos no satisfactorios deiniciar la sesión en el sistema y de acceder a objetos. Anomalías de autorizaciónpuede utilizarse de forma regular para supervisar a los usuarios que intentanrealizar funciones no autorizadas en el sistema. También pueden utilizarse comoayuda para la migración a un nivel de seguridad superior y para probar laseguridad por recursos para una aplicación nueva.

v Tareas de trabajo: Realiza auditorías de las acciones que afectan a un trabajo,por ejemplo iniciar o detener el trabajo, retenerlo, liberarlo, cancelarlo omodificarlo. Tareas de trabajo puede utilizarse para supervisar quién estáejecutando trabajos de proceso por lotes.

v Creación de objetos: Realiza auditorías sobre la creación o la sustitución de unobjeto. Creación de objetos puede utilizarse para supervisar cuándo se crean o sevuelven a compilar programas.

v Supresión de objetos: Realiza la auditoría sobre la supresión de un objeto.v Gestión de objetos: Realiza la auditoría sobre la operación de redenominar o

mover un objeto. Gestión de objetos puede utilizarse para detectar la copia deinformación confidencial trasladando el objeto a una biblioteca distinta.

v Restauración de objetos: Realiza la auditoría sobre el objeto restaurado.Restauración de objetos puede utilizarse para detectar intentos de restaurarobjetos no autorizados.

v Tareas de oficina: Realiza la auditoría de cambios en el directorio dedistribución del sistema y la apertura de las anotaciones de correo. Las accionesrealizadas sobre elementos específicos de las anotaciones de correo no seregistran. Tareas de oficina puede utilizarse para detectar intentos de modificarel direccionamiento del correo o para supervisar si se abren las anotaciones decorreo de otro usuario.

v Tareas ópticas: Realiza auditorías de funciones ópticas, por ejemplo añadir oextraer un cartucho óptico, o modificar la lista de autorizaciones utilizada paraproteger un volumen óptico. Otras funciones incluyen copiar, mover oredenominar un archivo óptico, guardar o liberar un archivo óptico retenido, etc.

v Funciones de impresión: Realiza auditorías de la impresión de un archivo enspool, la impresión directamente desde un programa, o el envío de un archivoen spool a una impresora remota. Funciones de impresión puede utilizarse paradetectar la impresión de información confidencial.

v Adopción de programas: Realiza la auditoría del uso de autorización adoptadapara obtener el acceso a un objeto. Adopción de programas puede utilizarse paraprobar dónde y cuándo una aplicación nueva utiliza la autorización adoptada.

v Tareas de seguridad: Realiza auditorías de eventos relativos a la seguridadcomo, por ejemplo, modificar un perfil de usuario o un valor del sistema. Tareasde seguridad puede utilizarse para mantener un registro de todas las actividadesde seguridad.

v Tareas de servicio: Realiza auditorías del uso de herramientas de servicio talescomo Volcar objeto e Iniciar copiar pantalla. Tareas de servicio puede utilizarsepara detectar intentos de esquivar la seguridad utilizando herramientas deservicio.

v Gestión de spool: Realiza auditorías de las acciones llevadas a cabo sobre losarchivos en spool, incluida la creación, la copia y el envío. Gestión de spoolpuede utilizarse para detectar intentos de imprimir o enviar datosconfidenciales.


v Violación de la integridad del sistema: Realiza auditorías de las violaciones deldominio del programa cuando un programa provoca un error de integridad.Violación de la integridad del sistema puede utilizarse como ayuda para lamigración a un nivel de seguridad superior o para probar una aplicación nueva.

v Gestión del sistema: Realiza auditorías de las actividades de gestión del sistema,por ejemplo modificar una lista de respuestas o la planificación de encendido yapagado. Gestión del sistema puede utilizarse para detectar intentos de utilizarfunciones de gestión del sistema para esquivar los controles de seguridad.

Cuando se cree la ventana de nuevos objetos, verá qué se ha creado y podrárealizar cambios y pulsar Aceptar para aceptar el nuevo objeto. Si aparece unaventana que indica ″El diario QAUDJRN no existe en la biblioteca QSYS″, utilice elmandato CL CHGSECAUD para crear el diario de auditoría de seguridad(QUADJRN), si no existe.

Si desea realizar una auditoría sobre un único usuario, puede hacerlo volviendo ala pantalla del menú principal.1. En el menú principal seleccione Usuarios y grupos.2. Expanda la ventana y pulse en Todos los usuarios.3. Seleccione el usuario que desee supervisar y pulse con el botón de la derecha

para obtener el menú desplegable. Seleccione Propiedades.4. En el menú Propiedades seleccione y pulse en Posibilidades.5. El siguiente menú le ofrece la opción de realiza la auditoría de un único

usuario. Efectúe sus selecciones de auditoría y seleccione Aceptar.

Ahora podrá supervisar el uso que hace esa persona del sistema.

Herramienta de política de seguridadLas políticas de seguridad se utilizan para administrar los valores del sistemarelacionados con la seguridad. Para definir y mantener las políticas de seguridades necesario seguir los siguientes pasos.1. Inicie el programa Operations Navigator.2. Inicie la sesión en iSeries.3. Seleccione Seguridad y pulse en el recuadro + .4. Verá Listas de autorizaciones y Políticas. Pulse el botón derecho del ratón para

obtener el menú.5. Seleccione Políticas y pulse con el botón izquierdo del ratón. Aparecerá una

ventana.6. Efectúe una doble pulsación en el archivo Políticas de seguridad. Eso le llevará

a una ventana denominada Propiedades de Política de seguridad en la quedeberá dar el nombre de su iSeries.

7. Una vez realizadas sus selecciones, pulse Aceptar para que se apliquen a suspolíticas.

8. Las siguientes funciones de seguridad de Operations Navigator sustituyen aestas interfaces de línea de mandatos.

Valores de seguridad Interfaz de línea de mandatos

Pestaña de controles de seguridad

Nivel de seguridad QSECURITY

Acciones de seguridad QALWOBJRST; QRMTSRVATR;*ALWSYSSTT; *ALWPGMADP;*ALWPFT;QRETSVRSEC


|||||

Autorización por omisión para los objetos denueva creación en el sistema de archivosQSYS.LIB

QCRTAUT

Inicio de sesión en el sistema

Intentos de inicio de sesión incorrectos QMAXSIGN; QMAXSGNACN;QDSPSGNINF; QLMTDEVSSN;QLMTSECOFR

Permitir autoconfiguración de QUATOVRT; QAUTOCFG

Caducidad de contraseña QPWDEXPITV

Pantalla de contraseña

Longitudes de contraseña QPWDMINLEN; QPWDMAXLEN

Caracteres de contraseña QPWDDLMTAJC; QPWMINLEN;QPWDLMTREP; QPWDLMTCHR

Contraseñas anteriores QPWDPOSIF; QPWDRQDDIF

Tiempo de espera

Trabajos inactivos QINACTITV; QINACTMSGQ

Trabajos de desconexión QDSCJOBITV

Acción de error de dispositivo

Acción a llevar a cabo cuando se produce unerror de dispositivo en la estación de trabajo:

QDEVRCYACN

Inicio de sesión remoto

Utilizar TELNET para la pantalla de iniciode sesión remoto

QRMTSIGN

Nota: Si marca Utilizar paso a través parainicio de sesión remoto; se utilizará el valortanto para PassThrough como para Telnet.

Objetos no disponibles

Permitir estos objetos en: QALWUSRDMN

Supervisión de la autorización privada sobre los objetos


Puede utilizar el mandato Imprimir autorización privada (PRTPVTAUT) paraimprimir una lista de todas las autorizaciones privadas correspondientes a losobjetos de un tipo determinado de una biblioteca especificada.

Puede utilizar este informe para detectar las nuevas autorizaciones sobreobjetos. También puede serle útil para evitar que la estructura deautorizaciones privadas se convierta en complicada e imposible de gestionar.La Figura 9 en la página 81 muestra un ejemplo del informe:


Supervisión del acceso a las colas de salid a y a las colas de trabajosEn algunos casos, los administradores de seguridad hacen un gran trabajo a fin deproteger el acceso a los archivos, pero se olvidan de lo que sucede cuando elcontenido de un archivo se imprime. iSeries proporciona funciones para protegerlas colas de salida y las colas de trabajos confidenciales. Puede proteger una colade salida para que los usuarios no autorizados no puedan, por ejemplo, ver ocopiar los archivos en spool confidenciales que están a la espera de imprimirse.También puede proteger las colas de trabajos para que los usuarios no autorizadosno puedan redirigir un trabajo confidencial a una cola de salida no confidencial nicancelar el trabajo.


El tema Seguridad básica del sistema y planificación del Information Center y laspublicaciones iSeries Security Reference, describen cómo proteger las colas desalida y las colas de trabajos.

Puede utilizar el mandato Imprimir autorización sobre cola (PRTQAUT) paraimprimir los valores de seguridad correspondientes a las colas de trabajos yde salida del sistema. A continuación puede evaluar la impresión de trabajosque contienen información confidencial y asegurarse de que van a parar acolas de salida y de trabajos que están protegidas. La Figura 10 muestra unejemplo del informe PRTQAUT:

Autorizaciones privadas (informe completo)5769SS1 VxRxMx 000000 TESTSYS 00/00/00 00:00:00Directorio . . . . . . . . . . : /qibmAutorización *PUBLIC . . . . : *RX

Tipo de objeto . . . . . . . . : *DIRGrupo Lista

Objeto Propietario Primario Autoriz. Usuario Datos -----------Objeto-----------ProdData QSYS *NONE *NONE Autorización Mgt Exist Alter Ref

*PUBLIC *RXQSYS *RWX X X X X

UserData QSYS *NONE *NONE *PUBLIC *RXQSYS *RWX X X X X

include QSYS *NONE *NONE *PUBLIC *RXQSYS *RWX X X X X

locales QLPINSTALL *NONE *NONE *PUBLIC *RXQLPINSTA *RWX X X X X

Figura 9. Informe de autorizaciones privadas–Ejemplo

Autorización sobre colas (informe completo)SYSTEM4

Biblioteca especificada . . . : *ALLBiblioteca Objeto Tipo Propietario Autorización DSPDTA OPRCTL AUTCHKBASQLIB OUTQ1 *OUTQ BASMLYR *USE *NO *YES *OWNERBASQLIB OUTQ2 *OUTQ BASMLYR *ALL *YES *YES *OWNERBASQLIB OUTQ3 *OUTQ BASMLYR *CHANGE *OWNER *YES *OWNERBASQLIB OUTQ4 *OUTQ BASMLYR *EXCLUDE *NO *NO *OWNERBASQLIB OUTQ5 *OUTQ BASMLYR *EXCLUDE *NO *NO *DTAAUTBASQLIB JOBQ2 *JOBQ BASMLYR *CHANGE *NONE *NO *OWNERBASQLIB JOBQ3 *JOBQ BASMLYR *EXCLUDE *NONE *NO *DTAAUT

Figura 10. Informe Autorización sobre colas–Ejemplo


Para las colas de salida y de trabajos que considera susceptibles de seguridad,puede comparar los valores de seguridad con la información del Apéndice D de lapublicación iSeries Security Reference. Las tablas del Apéndice D indican qué valoresson necesarios para realizar distintas funciones de cola de salida y de trabajos.

Supervisión de autorizaciones especialesSi los usuarios del sistema tienen autorizaciones especiales innecesarias, susesfuerzos para desarrollar un esquema de autorización sobre objeto adecuadopueden ser inútiles. La autorización sobre objeto no tiene ningún significado si unperfil de usuario tiene la autorización especial *ALLOBJ. Un usuario que tenga laautorización especial *SPLCTL puede ver todos los archivos en spool del sistema,independientemente de los esfuerzos que realice para proteger las colas de salida.Los usuarios con la autorización especial *JOBCTL, pueden afectar las operacionesdel sistema y redirigir los trabajos. Los usuarios con la autorización especial*SERVICE pueden utilizar las herramientas de servicio para acceder a los datos sinpasar por el sistema operativo.


Puede utilizar el mandato Imprimir perfil de usuario (PRTUSRPRF) paraimprimir información acerca de las autorizaciones especiales y las clases deusuario correspondientes a los perfiles de usuario del sistema. Cuando seejecuta el informe, se dispone de varias opciones:v Todos los perfiles de usuariov Perfiles de usuario con autorizaciones especiales específicasv Perfiles de usuario que tengan clases de usuario específicasv Perfiles de usuario con discrepancias entre la clase de usuario y las

autorizaciones especiales.

La Figura 11 muestra un ejemplo del informe que contiene las autorizacionesespeciales para todos los perfiles de usuario:

Además de las autorizaciones especiales, el informe contiene lo siguiente:v Si el perfil de usuario tiene posibilidades limitadas.v Si el usuario o el grupo de usuarios es propietario de los objetos nuevos que

cree el usuario.v Qué autorización recibirá automáticamente el grupo de usuarios sobre los

nuevos objetos creados por el usuario.

Información de perfil de usuarioTipo de informe . . . . . . . : *AUTINFOSeleccionar por . . . . . . . : *SPCAUTAutorizaciones especiales . . : *ALL

-----------Autorizaciones especiales---------*IO Tipo

Perfil Perfiles *ALL *AUD SYS *JOB *SAV *SEC *SER *SPL Clase Autoriz. autoriz. Posibilidadusuario grupo OBJ IT CFG CTL SYS ADM VICE CTL usuario Propiet grupo grupo limitadaUSERA *NONE X X X X X X X X *SECOFR *USRPRF *NONE *PRIVATE *NOUSERB *NONE X X *PGMR *USRPRF *NONE *PRIVATE *NOUSERC *NONE X X X X X X X X *SECOFR *USRPRF *NONE *PRIVATE *NOUSERD *NONE *USER *USRPRF *NONE *PRIVATE *NO

Figura 11. Informe de usuarios–Ejemplo 1


La Figura 12 muestra un ejemplo del informe correspondiente a las autorizacionesespeciales y clases de usuario con discrepancias:

En la Figura 12, observe lo siguiente:v USERX tiene una clase de usuario de operador del sistema (*SYSOPR), pero

tiene las autorizaciones especiales *ALLOBJ y *SPLCTL.v USERY tiene una clase de usuario (*USER), pero tiene la autorización especial

*SECADM.v USERZ también tiene una clase de usuario (*USER), pero tiene la autorización

especial *SECADM. También puede ver que USERZ es un miembro del grupoQPGMR, que tiene las autorizaciones especiales *JOBCTL y *SAVSYS.

Puede ejecutar estos informes regularmente para supervisar la administración deperfiles de usuario.

Supervisión de entornos de usuarioUna de las funciones del perfil de usuario es la definición del entorno del usuario,que comprende la cola de salida, el menú inicial y la descripción del trabajo. Elentorno del usuario tiene efectos sobre el modo en que el usuario ve el sistema y,hasta cierto punto, sobre las acciones que el usuario puede realizar. El usuario debetener autorización sobre los objetos que están especificados en el perfil de usuario.Sin embargo, si su esquema de seguridad aún está en curso o no es muyrestrictivo, el entorno de usuario definido en un perfil de usuario puede producirresultados no deseados. A continuación encontrará varios ejemplos:


v La descripción de trabajo de usuario puede especificar un perfil de usuariocon más autorización que el usuario.

v El usuario puede tener un menú inicial sin línea de mandatos. Sinembargo, el programa de manejo de la tecla de atención del usuario puedeproporcionar una.

v El usuario puede tener autorización para ejecutar informes confidenciales.Sin embargo, la salida del usuario puede dirigirse a una cola de salida queesté disponible para los usuarios que no deberían ver los informes.

Puede utilizar la opción *ENVINFO del mandato Imprimir perfil de usuario(PRTUSRPRF) para supervisar los entornos que están definidos para losusuarios del sistema. La Figura 13 en la página 84 muestra un ejemplo delinforme:

Información de perfil de usuarioTipo de informe . . . . . . . : *AUTINFOSeleccionar por . . . . . . . : *MISMATCH

--------------------------------Autorizaciones especiales---------*IO Tipo

Perfil Perfiles *ALL *AUD SYS *JOB *SAV *SEC *SER *SPL Clase Autoriz. autoriz. Posibilidadusuario grupo OBJ IT CFG CTL SYS ADM VICE CTL usuario Propiet grupo grupo limitadaUSERX *NONE X X X X *SYSOPR *USRPRF *NONE *PRIVATE *NOUSERY *NONE X *USER *USRPRF *NONE *PRIVATE *NOUSERZ X *USER *USRPRF *NONE *PRIVATE *NO

QPGMR X X

Figura 12. Informe de usuarios–Ejemplo 2


Gestión de herramientas de servicioLas herramientas de servicio (DST) se utilizan para:v diagnosticar problemas del sistemav añadir recursos de hardware al sistemav gestionar DASD o memoriav gestionar actividades de LPAR (partición lógica)v revisar el LIC y las anotaciones de actividad de productosv efectuar vuelcos del almacenamiento principal

Las herramientas de servicio pueden utilizarse para tomarle el pulso al sistema, esdecir, ver cómo está funcionando el sistema en ese momento. Esas herramientas nohan cambiado, pero sí lo que puede hacer con ellas.

Ahora existen nuevas maneras de gestionar la seguridad de las herramientas deservicio en el sistema:v Perfiles de usuario de herramientas de serviciov Perfiles de dispositivo de herramientas de serviciov Datos de seguridad de herramientas de servicio

Se puede acceder a estas nuevas funciones a través de la pantalla Trabajar conentorno DST, como se muestra aquí:

Información de perfil de usuarioTipo de informe . . . . . . . : *ENVINFOSeleccionar por . . . . . . . : *USRCLS

Menú Programa Descripción Cola Cola ProgramaPerfil Biblioteca inicial/ inicial/ trabajo/ mensajes/ salida/ atención/usuario actual biblioteca biblioteca biblioteca biblioteca biblioteca bibliot.AUDSECOFR AUDITOR MAIN *NONE QDFTJOBD QSYSOPR *WRKSTN *SYSVAL

*LIBL QGPL QSYSUSERA *CRTDFT OEMENU *NONE QDFTJOBD USERA *WRKSTN *SYSVAL

*LIBL QGPL QUSRSYSUSERB *CRTDFT INVMENU *NONE QDFTJOBD USERB *WRKSTN *SYSVAL

*LIBL QGPL QUSRSYSUSERC *CRTDFT PAYROLL *NONE QDFTJOBD USERC PAYROLL *SYSVAL

*LIBL QGPL QUSRSYS PRPGMLIB

Figura 13. Imprimir perfil de usuario-Ejemplo de entorno de usuario

Trabajar con entorno DSTSistema: ____________


1. Herramientas de servicio activas2. Dispositivos del sistema3. Perfiles de usuario de herramientas de servicio4. Valores del sistema5. Perfiles de dispositivo de herramientas de servicio6. Datos de seguridad de herramientas de servicio

Selección

Figura 14. Trabajar con entorno DST


|

|

|

|

|

|

|

|

|||

||

|

|

|

|||

Una vez creado un Perfil de usuario de herramienta de servicio, inicie la sesiónutilizando el procedimiento descrito en “Inicio de sesión en las Herramientas deservicio del sistema (SST)” en la página 98.

Service Tools Server (STS)El Service Tools Server (STS) le permite utilizar el PC para realizar funciones deDST a través de TCP/IP. Para poder utilizar el STS para realizar actividades deLPAR basadas en GUI o de Gestión de disco, es necesario hacer que el STS estédisponible. El STS puede configurarse para DST, para OS/400 o para ambos. Unavez configurado, los usuarios autorizados podrán realizar funciones de LPAR o deGestión de disco utilizando el Operations Navigator.

Nota: No le será posible acceder a ninguna función DST disponible en elOperations Navigator hasta que haya configurado el STS para DST o paraOS/400.

Configuración del Service Tools Server para DSTEn la V5R1, el STS puede configurarse para estar disponible cuando el sistema estáen DST. Si utiliza solamente la Consola de operaciones con conectividad LAN pararealizar actividades de DST, no será necesario volver a configurar el STS, ya que lotendrá disponible cuando el sistema esté en DST. De lo contrario, puede habilitar elSTS mediante DST, dedicando una tarjeta de interfaz de red al STS. Para habilitarel STS con su propia tarjeta de interfaz de red:1. Desde la pantalla Utilizar herramientas de servicio dedicado (DST), seleccione 5

(Trabajar con entorno DST) y pulse Intro. Aparecerá la pantalla Trabajar conentorno DST (vea Figura 14 en la página 84).

2. Desde la pantalla Trabajar con entorno DST, seleccione 2 (Dispositivos delsistema) y pulse Intro. Aparecerá la pantalla Trabajar con dispositivos delsistema.

3. Desde la pantalla Trabajar con dispositivos del sistema, seleccione 6 (Modalidadde consola) y pulse Intro. Aparecerá la pantalla Seleccionar tipo de consola.

4. Desde la pantalla Seleccionar tipo de consola, pulse F11 (Configurar). Aparecerála pantalla Configurar adaptador de herramientas de servicio.

5. En la pantalla Configurar adaptador de herramientas de servicio, entre lainformación sobre el Adaptador de LAN y TCP/IP. Pulse F1 (Ayuda) paraconocer el tipo de información necesaria en cada campo.

Seleccionar tipo de consolaSistema: ____________


1. Twinaxial2. Consola de operaciones(Directo)3. Consola de operaciones(LAN)

Selección

Figura 15. Pantalla Seleccionar tipo de consola


|||||||||||||||

|||

|||

|

||||||

|||

|||||||

|||

|||

|||

||

||||

6. Pulse F7 (Almacenar) para comprometer los cambios.7. Pulse F14 (Activar) para activar el adaptador.

El STS ya está listo para su uso con un Perfil de usuario de herramientas deservicio válido (vea “Creación de un perfil de usuario de herramientas de servicio”en la página 88).

Configuración del Service Tools Server para OS/400Debe añadir el STS a la tabla de servicios para poder acceder a las funciones deDST en el OS/400 utilizando TCP/IP y Operations Navigator. El STS puedeañadirse antes de configurar la red de área local (LAN).

Para añadir el STS a la tabla de servicios:1. En cualquier línea de mandatos, teclee ADDSRVTBLE (Añadir entrada de tabla

de servicios) y pulse Intro. Aparecerá la pantalla Añadir entrada de tabla deservicios.

2. Entre la siguiente información en los campos suministrados:v Servicio: as-stsv Puerto: 3000v Protocolo: tcpv Texto ’descriptivo’: ’Service Tools Server’

Este campo es opcional, pero se recomienda que entre una descripción de laentrada de la tabla.

3. Pulse F10 (Parámetros adicionales).4. Entre AS-STS en el campo Alias. El Alias debe estar en mayúsculas, ya que

algunas búsquedas en la tabla de servicios son sensibles a las mayúsculas yminúsculas.

Configurar adaptador de herramientas de servicioSistema: ____________

Teclee elecciones, pulse Intro para verificar la entrada.

Nombre de recurso..............: CMN03_______Tipo de adaptador..............: 2724________Modelo de adaptador............: 001_________Número de serie del adaptador..: 12-1234567__

Dirección Internet.............. ____________Dir. direccionador primario..... ____________Dir. direccionador secundario... ____________Máscara de subred............... ____________Nombre del sistema.............. ____________Nodo............................ 000000000000 (0 es el valor por omisión)Dúplex.......................... AUTO________ HALF, FULL, AUTOVelocidad de red................ AUTO________ 4,10,15,100,AUTO

F3=Salir F5=Cargar F6=Borrar F7=Almacenar F12=CancelarF13=Desactivar F14=Activar

Figura 16. Pantalla Configurar adaptador de herramientas de servicio


|||||||||||||||||||||||

||||

|

|||

||||

|

|||

|

|

|

|

|

||

|

||||

5. Pulse Intro para añadir la entrada a la tabla.6. Pulse F3 para salir de la pantalla Añadir entrada de tabla de servicios.

Una vez se ha añadido STS a la tabla de servicios, los usuarios autorizados (vea“Creación de un perfil de usuario de herramientas de servicio” en la página 88)podrán acceder a herramientas de servicio de LPAR y de Gestión de discoutilizando el Operations Navigator y TCP/IP.

Utilización de perfiles de usuario de herramientas de servicioEn el pasado, los usuarios autorizados podían acceder a cualquier herramienta deservicio del sistema si tenían un ID de usuario y una contraseña válidos. Losusuarios que necesitaban acceder solamente a una herramienta podían acceder atodas ellas. Esto planteaba un riesgo de seguridad potencial: por ejemplo, laherramienta Visualizar/Alterar/Volcar es muy potente y solamente deberánutilizarla un número reducido de usuario. No obstante, estaba disponible paracualquier usuario con autorización para utilizar otras herramientas, por ejemplo lagestión de DASD.

Ahora puede crear perfiles definidos por el usuario a los que puede otorgarse unprivilegio funcional sobre las herramientas de servicio. Se pueden otorgar a losusuarios privilegios sobre herramientas específicas, por ejemplo la gestión deDASD o LPAR, o sobre un grupo de herramientas. Puede definir hasta 96 perfilesde usuario distintos (lo que hará un total de 100, incluidos los cuatrosuministrados por IBM), lo que le permitirá gestionar el acceso a herramientas deservicio de una manera más eficaz.

IBM continúa suministrando perfiles de usuario estándar: QSECOFR (que tieneacceso a todas las herramientas de servicio y puede trabajar con los UID ycontraseñas y cambiarlos), 11111111 (que tiene privilegios de acceso básicos) y2222222 (más avanzado que 11111111, pero sin todas las posibilidades deQSECOFR). IBM ha añadido también un nuevo perfil de usuario (QSRV) que tieneuna funcionalidad similar a la de 22222222, pero sin la capacidad deVisualizar/Alterar/Volcar.

Nota: Todos los perfiles de usuario de herramientas de servicio suministrados porIBM (excepto 11111111) caducarán una vez se hayan utilizado por primeravez. Deberá cambiar de inmediato las contraseñas para estos perfiles (vea“Cambio de un perfil de usuario de herramientas de servicio” en lapágina 89).

Añadir entrada de tabla de servicios (ADDSRVTBLE)


Servicio . . . . . . . as-stsPuerto . . . . . . . . 3000 1-65535Protocolo . . . . . . . tcpTexto 'descriptivo' . . 'Service Tools Server'

Parámetros adicionales

Aliases . . . . . . . . 'AS-STS'+ para más valores

Figura 17. Pantalla Añadir entrada de tabla de servicios (ADDSRVTBLE) completada


||||||||||||||||

||||

|

||||

|

||||||||

|||||||

|||||||

|||||

Trabajar con perfiles de usuario de herramientas de servicioLos Perfiles de usuario de herramientas de servicio no se componen solamente deun ID de usuario y una contraseña. También tienen una fecha de caducidad, lo quele permite minimizar el riesgo de seguridad en el sistema. Por ejemplo, puedecrear un perfil para un técnico de servicio que sea válido durante poco tiempo,otorgando a ese técnico el acceso solamente a las herramientas de servicionecesarias. El perfil también puede inhabilitarse si el usuario asociado con él dejala empresa, reduciendo así la posibilidad de que un antiguo empleado acceda a lasherramientas de servicio con fines indefinidos. Cada perfil de usuario tieneasociada también una lista de privilegios funcionales. Puede seleccionar la lista deprivilegios funcionales de las herramientas específicas a las que cada perfil deusuario tendrá acceso y otorgar o revocar privilegios funcionales cuando lo desee.

Consejo:Utilice los perfiles de usuario de herramientas de servicio para gestionar elacceso a herramientas de servicio clave. Cree un perfil que maneje las tareasdel QSECOFR. Cuando esa persona esté de vacaciones, podrá utilizarse elperfil alternativo para realizar esas tareas.

Desde la pantalla Trabajar con entorno DST, pulse 3 (Perfiles de usuario deherramientas de servicio) para trabajar con Perfiles de usuario de herramientas deservicio.

Desde la pantalla mostrada en Figura 18, puede crear, modificar, suprimir yvisualizar perfiles de usuario. En este release, el acceso a la gestión de DASD y lasfunciones LPAR tienen GUI como base; puede accederse a todas las demásherramientas mediante pantalla verde.

Creación de un perfil de usuario de herramientas de servicio: Para crear unPerfil de usuario de herramientas de servicio:1. Entre el nombre del nuevo usuario de herramientas de servicio en el espacio

suministrado.

Trabajar con perfiles de usuario de herramientas de servicioSistema: _______________

Teclee opción, pulse Intro.1=Crear 2=Cambiar contraseña 3=Suprimir 4=Visualizar5=Habilitar 6=Inhabilitar 7=Cambiar privilegios 8=Cambiar descripción

PerfilOpción Usuario Descripción Estado

____ ____________ _________________________________________________________ ____________ ____________ _________________________________________________________ ____________ ____________ _________________________________________________________ ____________ ____________ _________________________________________________________ ____________ ____________ _________________________________________________________ ____________ ____________ _________________________________________________________ ____________ ____________ _________________________________________________________ ____________ ____________ _________________________________________________________ ________

Más...

F3=Salir F5=Renovar F12=Cancelar

Figura 18. Trabajar con perfiles de usuario de herramientas de servicio


|||||||||||||||||||||||

|||

|||||||||||||

||||||||

||||

||||

||

||

2. Seleccione 1 (Crear) en la pantalla Trabajar con perfiles de usuario deherramientas de servicio. Aparecerá la pantalla Crear perfil de usuario deherramientas de servicio.

3. Entre información sobre el nuevo perfil de usuario:v Frase de paso: El nuevo perfil de usuario utilizará esta frase de paso. Esta

frase debe tener al menos un carácter de longitud. No se permiten otrasnormas de composición de frases de paso.

v Permita el acceso al perfil antes de la recuperación de la gestión delalmacenamiento: el valor por omisión para este campo es 2 (No).

v Establezca una contraseña que debe caducar: el valor por omisión para estecampo es 1 (Sí).

v Descripción: Este es un campo opcional que puede utilizarse parainformación más detallada sobre el propietario del perfil de usuario, porejemplo el nombre, departamento y número de teléfono.

4. Una vez se haya entrado toda la información sobre el perfil de usuario, puedeelegir entre dos opciones:v Para crear el perfil con los privilegios por omisión, pulse Intro.v Para modificar los privilegios por omisión, pulse F5 para ir a la pantalla

Cambiar privilegios de usuario de herramientas de servicio. Esta pantallalista todas las herramientas de servicio a las que puede otorgarse privilegio.Para cambiar un privilegio, vea “Cambio de un perfil de usuario deherramientas de servicio” para obtener más información.

Para aprender a iniciar la sesión en las herramientas de servicio del sistema (SST),vea “Inicio de sesión en las Herramientas de servicio del sistema (SST)” en lapágina 98.

Cambio de un perfil de usuario de herramientas de servicio: Para cambiar unperfil de usuario de herramientas de servicio:1. En la pantalla Trabajar con perfiles de usuario de herramientas de servicio,

seleccione el perfil de usuario a modificar y pulse 7 (Cambiar privilegios) en elcampo de opción. Aparecerá la pantalla Cambiar privilegios de usuario deherramientas de servicio.a. Entre 1 (Revocar) en el campo de opción, junto a los privilegios funcionales

que desee eliminar del perfil de usuario.b. Entre 2 (Otorgar) en el campo de opción, junto a los privilegios funcionales

que desee añadir al perfil de usuario.2. Pulse Intro para habilitar estos cambios. Si pulsa F3 (Salir) antes de pulsar

Intro, los cambios no entrarán en vigor y se restablecerán los valores poromisión del perfil de usuario. Si pulsa F9 (Valores por omisión), serestablecerán los valores por omisión de los privilegios funcionales.

Para modificar una contraseña de perfil de usuario de herramientas de servicio:1. En la pantalla Trabajar con perfiles de usuario de herramientas de servicio,

seleccione el perfil de usuario a modificar y pulse 2 (Cambiar contraseña) en elcampo de opción.a. Si tiene el privilegio de administración del sistema para modificar los

perfiles de usuario de herramientas de servicio de otras personas, aparecerála pantalla Cambiar contraseña de usuario de herramientas de servicio deotro usuario. Complete los siguientes campos:v Nombre de perfil de usuario de herramientas de servicio: Entre el nombre

de perfil de usuario que desee modificar.


|||

|

|||

||

||

|||

||

|

|||||

|||

||

||||

||

||

||||

|

|||

||||

||

v Contraseña nueva: Entre una frase de paso nueva.v Establecer contraseña como caducada: seleccione 1 (Sí) o 2 (No) en este

campo. El valor por omisión es 1 (Sí).b. Si no tiene el privilegio de administración del sistema para modificar los

perfiles de usuario de herramientas de servicio de otras personas, aparecerála pantalla Cambiar contraseña de usuario de herramientas de servicio.Complete los siguientes campos:v Contraseña actual: Entre la frase de paso que se está utilizando

actualmente para el perfil de usuario.v Contraseña nueva: Entre una frase de paso nueva.v Contraseña nueva (para verificar): Vuelva a entrar la frase de paso nueva.

2. Pulse Intro para ejecutar el cambio.

Para modificar una descripción de perfil de usuario de herramientas de servicio:1. En la pantalla Trabajar con perfiles de usuario de herramientas de servicio,

seleccione la descripción de perfil de usuario a cambiar y pulse 8 (Cambiardescripción) en el campo de opción.

2. En el campo Descripción, entre una nueva descripción para el perfil de usuario.Esta puede incluir el nombre del usuario, el departamento y el número deteléfono.

Supresión de un perfil de usuario de herramientas de servicio: Para suprimir unperfil de usuario de herramientas de servicio:1. En la pantalla Trabajar con perfiles de usuario de herramientas de servicio,

seleccione el perfil de usuario que desee suprimir y pulse 3 (Suprimir) en elcampo de opción. Aparecerá la pantalla Suprimir perfil de usuario deherramientas de servicio.

2. Se le solicitará confirmación de su elección de suprimir el perfil de usuario.v Pulse Intro para suprimir el perfil.v Pulse F12 (Cancelar) para cancelar la acción y volver a la pantalla Trabajar

con perfiles de usuario de herramientas de servicio.

Visualización de un perfil de usuario de herramientas de servicio: Paravisualizar un perfil de usuario de herramientas de servicio:1. En la pantalla Trabajar con perfiles de usuario de herramientas de servicio,

seleccione el perfil de usuario que desee visualizar y pulse 4 (Visualizar).Aparecerá la pantalla Visualizar perfil de usuario de herramientas de servicio.Esta pantalla muestra información relacionada con el perfil de usuario:v Inicio de sesión anterior (fecha y hora)v Intentos de inicio de sesión no válidosv Estadov Fecha del último cambio de contraseñav Permitir acceso al perfil antes de la recuperación de la gestión del

almacenamiento (Sí o No)v Fecha de caducidad de la contraseña (fecha)v Contraseña establecida para caducar (Sí o No)

2. Pulse F5 (Visualizar privilegios) para ver los privilegios funcionales asociadoscon este perfil. Aparecerá la pantalla Visualizar privilegios de usuario deherramientas de servicio. Esta pantalla lista todos los privilegios funcionales yel estado del usuario para cada uno de ellos. No puede realizar cambios en elperfil de usuario desde esta pantalla.


|

||

||||

||

|

|

|

|

|||

|||

||

||||

|

|

||

||

||||

|

|

|

|

||

|

|

|||||

Habilitación o inhabilitación de un perfil de usuario de herramientas deservicio:

v Para habilitar un perfil de usuario de herramientas de servicio:1. En la pantalla Trabajar con perfiles de usuario de herramientas de servicio,

seleccione el perfil de usuario que desee habilitar y entre 5 (Habilitar) en elcampo de opción. Aparecerá la pantalla Habilitar perfil de usuario deherramientas de servicio.

2. Pulse Intro para confirmar la elección de habilitar el perfil de usuario que haseleccionado.

v Para inhabilitar un perfil de usuario de herramientas de servicio:1. En la pantalla Trabajar con perfiles de usuario de herramientas de servicio,

seleccione el perfil de usuario que desee inhabilitar y entre 6 (Inhabilitar) enel campo de opción. Aparecerá la pantalla Inhabilitar perfil de usuario deherramientas de servicio.

2. Pulse Intro para confirmar la elección de inhabilitar el perfil de usuario queha seleccionado.

Utilización de perfiles de dispositivo de herramientas deservicio

Una novedad de este release es la mejora de la seguridad para la nueva Consolade operaciones con base LAN (vea “Consejos para la utilización de la Consola deoperaciones con conectividad LAN” en la página 105). Los perfiles de dispositivopermiten que cualquier dispositivo de Consola de operaciones de una LAN actúecomo la consola. Así se elimina la limitación de proximidad física al iSeries y sepermite una disposición de consola más flexible para ajustarse a sus necesidadesde empresa.

Nota: Cualquier dispositivo de Consola de operaciones puede ser una consola,pero solamente las configuraciones con base LAN utilizan el perfil deusuario de herramientas de servicio.

Dado que cualquier dispositivo de Consola de operaciones puede ser la consola,las funciones de consola pueden repartirse entre múltiples dispositivos de la LAN.Por ejemplo, un dispositivo puede tener el privilegio funcional para realizarfunciones de LPAR solamente, mientras otro realiza la gestión de DASD. Puedecrearse un máximo de 50 perfiles de dispositivo para manejar actividades deconsola en la LAN y cualquier dispositivo que intente actuar como consola en laLAN será autenticado por el iSeries antes de realizarse las funciones de consola.Esta autenticación implica la confirmación de que el dispositivo tiene el privilegiofuncional para realizar las funciones de consola que solicita, así como confirmarque se trata de un dispositivo autorizado en la LAN.

Desde la pantalla Trabajar con entorno DST, seleccione 5 (Perfiles de dispositivo deherramientas de servicio).


||

|

||||

||

|

||||

||

|

|

|||||||

|||

||||||||||

||

Trabajar con perfiles de dispositivo de herramientas de servicio

Creación de un perfil de dispositivo de herramientas de servicio: Para crear unperfil de dispositivo de herramientas de servicio:1. Seleccione 1 (Crear) en la pantalla Trabajar con perfiles de dispositivo de

herramientas de servicio. Aparecerá la pantalla Crear perfil de dispositivo deherramientas de servicio.

2. Entre el nombre del nuevo perfil de dispositivo de herramientas de servicio enel espacio suministrado.

3. Entre información sobre el nuevo perfil de dispositivo:v Frase de paso: El nuevo perfil de dispositivo utilizará esta frase de paso.v Descripción: Este es un campo opcional que puede utilizarse para

información más detallada sobre el propietario del perfil de dispositivo, porejemplo el nombre, departamento y número de teléfono.

4. Una vez se haya entrado toda la información sobre el perfil de usuario, puedeelegir entre dos opciones:v Para crear el perfil con los atributos por omisión, pulse Intro.v Para modificar los atributos por omisión, pulse F5 para ir a la pantalla

Cambiar atributos de dispositivo de herramientas de servicio. Esta pantallalista todas las herramientas de servicio a las que puede otorgarse privilegio.Para cambiar un privilegio, vea “Cambio de un perfil de dispositivo deherramientas de servicio” en la página 93 para obtener más información.

Restablecimiento de un perfil de dispositivo de herramientas de servicio: Pararestablecer un atributo de dispositivo de herramientas de servicio:1. En la pantalla Trabajar con perfiles de dispositivo de herramientas de servicio,

seleccione el perfil de usuario y pulse 2 (Restablecer contraseña) en el campode opción. Aparecerá la pantalla Restablecer contraseña de dispositivo deherramientas de servicio.

2. Pulse Intro para confirmar el restablecimiento de la contraseña.

Nota: Se restablecerá la contraseña con el nombre de perfil de dispositivo.

Trabajar con perfiles de dispositivo de herramientas de servicioSistema: ___________

Teclee opción, pulse Intro.1=Crear 2=Restablecer contraseña 3=Suprimir4=Visualizar 5=Habilitar 6=Inhabilitar7=Cambiar atributos 8=Cambiar descripción

PerfilOpción Dispositivo Descripción Estado

____ _____________ ________________________________________________ _____________ _____________ ________________________________________________ _____________ _____________ ________________________________________________ _____________ _____________ ________________________________________________ _____________ _____________ ________________________________________________ _____________ _____________ ________________________________________________ _____________ _____________ ________________________________________________ _____________ _____________ ________________________________________________ _________

Más...F3=Salir F5=Renovar F12=Cancelar

Figura 19. Trabajar con perfiles de dispositivo de herramientas de servicio


|||||||||||||||||||||||

|||

||

||

|||

||

|

|

|||

||

|

|||||

||

||||

|

|

3. Restablezca la contraseña en el PC. Consulte el apéndice ″Resincronización delas contraseñas de perfil de dispositivo del PC y del iSeries″ de la publicaciónConfiguración de Consola de operaciones.

Cambio de un perfil de dispositivo de herramientas de servicio: Para modificaratributos de dispositivo de herramientas de servicio:1. En la pantalla Trabajar con perfiles de dispositivo de herramientas de servicio,

seleccione el perfil de usuario a modificar y pulse 7 (Cambiar atributos) en elcampo de opción. Aparecerá la pantalla Cambiar atributos de dispositivo deherramientas de servicio.a. Entre 1 (Revocar) en el campo de opción, junto al atributo de servicio que

desee eliminar del perfil de usuario.b. Entre 2 (Otorgar) en el campo de opción, junto al atributo de servicio que

desee añadir al perfil de usuario.2. Pulse Intro para ejecutar estos cambios. Si pulsa F3 (Salir) antes de pulsar Intro,

los cambios no entrarán en vigor y se restablecerán los valores por omisión alos atributos de dispositivo. Si pulsa F5 (Restablecer) antes de pulsar Intro, serestablecerán los valores por omisión a los atributos de dispositivo.

Para modificar una descripción de perfil de dispositivo de herramientas deservicio:1. En la pantalla Trabajar con perfiles de dispositivo de herramientas de servicio,

seleccione la descripción de perfil de dispositivo a cambiar y pulse 8 (Cambiardescripción) en el campo de opción.

2. En el campo Descripción, entre una nueva descripción para el perfil de usuario.Esta puede incluir el nombre del usuario, el departamento y el número deteléfono.

Supresión de un perfil de dispositivo de herramientas deservicioPara suprimir un perfil de dispositivo de herramientas de servicio:1. En la pantalla Trabajar con perfiles de dispositivo de herramientas de servicio,

seleccione el perfil de dispositivo que desee suprimir y pulse 3 (Suprimir) en elcampo de opción. Aparecerá la pantalla Suprimir perfil de dispositivo deherramientas de servicio.

2. Se le solicitará confirmación de su elección de suprimir el perfil de dispositivo.v Pulse Intro para suprimir el perfil.v Pulse F12 (Cancelar) para cancelar la acción y volver a la pantalla Trabajar

con perfiles de dispositivo de herramientas de servicio.

Visualización de un perfil de dispositivo de herramientas deservicioPara visualizar un perfil de dispositivo de herramientas de servicio:1. En la pantalla Trabajar con perfiles de dispositivo de herramientas de servicio,

seleccione el perfil de dispositivo que desee visualizar y pulse 4 (Visualizar).Aparecerá la pantalla Visualizar perfil de dispositivo de herramientas deservicio. Esta pantalla muestra información relacionada con el perfil dedispositivo:v Estadov Descripción

2. Pulse F5 (Visualizar atributos) para ver los atributos asociados con este perfil.Aparecerá la pantalla Visualizar atributos de dispositivo de herramientas de


|||

||

||||

||

||

||||

||

|||

|||

|||

||||

|

|

||

|||

|||||

|

|

||

servicio. Esta pantalla lista todos los atributos de dispositivo y el estado delperfil para cada uno de ellos. No puede realizar cambios en los atributos dedispositivo desde esta pantalla.

Habilitación o inhabilitación de un perfil de dispositivo deherramientas de serviciov Para habilitar un perfil de dispositivo de herramientas de servicio:

1. En la pantalla Trabajar con perfiles de dispositivo de herramientas deservicio, seleccione el perfil de dispositivo que desee habilitar y entre 5(Habilitar) en el campo de opción. Aparecerá la pantalla Habilitar perfil dedispositivo de herramientas de servicio.

2. Pulse Intro para confirmar la elección de habilitar el perfil de dispositivo queha seleccionado.

v Para inhabilitar un perfil de dispositivo de herramientas de servicio:1. En la pantalla Trabajar con perfiles de dispositivo de herramientas de

servicio, seleccione el perfil de dispositivo que desee inhabilitar y entre 6(Inhabilitar) en el campo de opción. Aparecerá la pantalla Inhabilitar perfilde dispositivo de herramientas de servicio.

2. Pulse Intro para confirmar la elección de inhabilitar el perfil de dispositivoque ha seleccionado.

Utilización de datos de seguridad de servicioUna vez tenga un plan de seguridad preparado, será necesario poder supervisar sueficacia y ver dónde hace falta realizar alteraciones para ajustar la seguridad delsistema. La información que puede reunir de los Datos de seguridad de servicio leayudarán en ese cometido. Las opciones disponibles desde esta pantalla también lepermiten alterar la seguridad clave de contraseñas y del sistema operativo.

Desde la pantalla Trabajar con entorno DST, seleccione la opción 6 (Datos deservicio de herramientas de servicio).

Trabajar con datos de seguridad de servicioLas opciones que tiene disponibles en la pantalla Datos de seguridad de servicio lepermiten ver las anotaciones de seguridad del sistema para hacer un seguimientode las actividades relacionadas con la seguridad que se llevan a cabo en su iSeries(vea “Trabajar con anotaciones de seguridad de herramientas de servicio” en lapágina 96). También puede salvar y restaurar datos de seguridad, establecer ymodificar niveles de contraseña, restablecer la contraseña por omisión del sistemaoperativo y cambiar la seguridad de instalación del sistema operativo.


|||

|||

||||

||

|

||||

||

|

|||||

||

|||||||||

Restablecimiento de la contraseña por omisión del sistema operativo: Pararestablecer la contraseña por omisión del sistema operativo:1. Desde la pantalla Trabajar con datos de seguridad de herramientas de servicio,

seleccione 1 (Restablecer la contraseña por omisión del sistema operativo).Aparecerá la pantalla Confirmar restablecer la contraseña por omisión delsistema.

2. Pulse Intro para confirmar restablecer. Aparecerá un mensaje de confirmación.

La contraseña por omisión del sistema es QSECOFR. Deberá cambiar estacontraseña por omisión de inmediato. Las contraseñas por omisión son

Trabajar con datos de seguridad de herramientas de servicioSistema: ____________


1. Restablecer la contraseña por omisión del sistema operativo2. Cambiar la seguridad de instalación del sistema operativo3. Trabajar con anotaciones de seguridad de herramientas de servicio4. Restaurar datos de seguridad de herramientas de servicio5. Salvar datos de seguridad de herramientas de servicio6. Nivel de contraseña

Selección

Figura 20. Trabajar con datos de seguridad de herramientas de servicio

Confirmar restablecer la contraseña por omisión del sistemaSistema: ____________

Pulse Intro para confirmar la elección de restablecer la contraseña de iniciode sesión del responsable de seguridad del sistema operativo. La contraseñase restablecerá al valor por omisión asignado cuando se envió el sistema.

Pulse F12 para volver y cambiar su elección.

F12=CancelarAlteración temporal de la contraseña del sistema operativo no en vigor

Figura 21. Restablecer la contraseña por omisión del sistema operativo

Confirmar restablecer la contraseña por omisión del sistemaSistema: ____________

Pulse Intro para confirmar la elección de restablecer la contraseña de iniciode sesión del responsable de seguridad del sistema operativo. La contraseñase restablecerá al valor por omisión asignado cuando se envió el sistema.

Pulse F12 para volver y cambiar su elección.

F12=CancelarAlteración temporal de la contraseña del sistema operativo establecida

Figura 22. Confirmar restablecer la contraseña por omisión del sistema


|||||||||||||||

|||

||||||||||||||

|||

||||||||||||||

|||

||

|||||

||

||

ampliamente conocidas, por lo que el no cambiar este valor por omisión representaun aumento significativo de la vulnerabilidad de la seguridad del sistema.

Cambio de la seguridad de instalación del sistema operativo: Para cambiar laseguridad de instalación del sistema operativo:1. Desde la pantalla Trabajar con datos de seguridad de herramientas de servicio,

seleccione 2 (cambiar seguridad de instalación del sistema operativo).Aparecerá la pantalla Cambiar seguridad de instalación del sistema operativo.

2. Seleccione la opción 1 (Protegido). Volverá a aparecer la pantalla Trabajar condatos de seguridad de herramientas de servicio, con el mensaje ″Instalación delsistema operativo protegida″.

Repita este procedimiento y seleccione la opción 2 de la pantalla Cambiarseguridad de instalación del sistema operativo para cambiar de un estadoprotegido de instalación del sistema operativo a un estado no protegido.

Trabajar con anotaciones de seguridad de herramientas de servicio: Para trabajarcon las anotaciones de seguridad de herramientas de servicio:

Cada vez que un usuario inicia la sesión utilizando un perfil de usuario deherramientas de servicio, el evento queda anotado. Estas anotaciones puedenayudarle a rastrear métodos de acceso inusuales u otros riesgos de seguridadpotenciales.1. Desde la pantalla Trabajar con datos de seguridad de herramientas de servicio,

seleccione 3 (Trabajar con anotaciones de seguridad de herramientas deservicio). Aparecerá la pantalla Trabajar con anotaciones de seguridad deherramientas de servicio. Esta pantalla muestra la actividad relacionada con laseguridad por fecha y hora.

2. (opcional) Pulse F6 (Imprimir) para imprimir estas anotaciones.3. (opcional) Pulse 5 (Visualizar detalles) en el campo de opción de la actividad en

la que esté interesado.v Si la actividad está relacionada con un privilegio de otorgar o revocar,

aparecerá la pantalla Visualizar detalles de anotaciones de seguridad deherramientas de servicio, mostrando la siguiente información:– Hora de la actividad– Descripción de la actividad– Perfil del modificador– Perfil afectado– Descripción del privilegio

Cambiar seguridad de instalación del sistema operativoSistema: ____________

Teclee opción, pulse Intro.

Proteger instalación del sistema operativo . . 1=Protegido2=No protegido

F3=Salir F12=CancelarInstalación del sistema operativo no protegida actualmente

Figura 23. Cambiar seguridad de instalación del sistema operativo


||||||||||||||

|||

||

||

||||

|||

|||

||

||||

|||||

|

||

|||

|

|

|

|

|

v Si la actividad está relacionada con habilitar o inhabilitar un perfil, aparecerála pantalla Visualizar detalles de anotaciones de seguridad de herramientasde servicio, mostrando la siguiente información:– Hora de la actividad– Descripción de la actividad– Perfil del modificador– Perfil afectado

v Si la actividad está relacionada con cualquier otro tipo de evento, aparecerála pantalla Visualizar detalles de anotaciones de seguridad de herramientasde servicio, mostrando la siguiente información:– Hora de la actividad– Descripción de la actividad– Perfil afectado

Restauración de datos de seguridad de herramientas de servicio: Para restaurarlos datos de seguridad de herramientas de servicio:1. Desde la pantalla Trabajar con datos de seguridad de herramientas de servicio,

seleccione 4 (Restaurar datos de seguridad de herramientas de servicio).Aparecerá la pantalla Seleccionar tipo de soporte.

2. Seleccione una de las opciones disponibles:v Cinta

a. Pulse Intro para restaurar. Aparecerá la pantalla Trabajar con dispositivosde cinta.

b. Puede elegir seleccionar, deseleccionar o visualizar detalles en cualquierade los dispositivos de cinta que aparezcan. Si elige seleccionar, continúeen el Paso 3.

v Ópticoa. Pulse Intro para restaurar. Aparecerá la pantalla Trabajar con dispositivos

ópticos.b. Puede elegir seleccionar, deseleccionar o visualizar detalles en cualquiera

de los dispositivos ópticos que aparezcan. Si elige seleccionar, continúe enel Paso 3.

3. Las instrucciones para seleccionar el dispositivo del que desee restaurar datosde seguridad son las mismas para los dispositivos de cinta que para los ópticos.a. Entre la opción 1 (Seleccionar) en el campo de opción, junto al recurso con

el que desee trabajar. Aparecerá la pantalla Restaurar perfiles de usuario deherramientas de servicio.

b. Seleccione una de estas opciones:v Para restaurar todos los perfiles de usuario de herramientas de servicio:

1) Seleccione la opción 1.2) Pulse Intro. Se restaurarán todos los perfiles.

v Para elegir los perfiles de usuario de herramientas de servicio que deseerestaurar:1) Seleccione la opción 2 y pulse Intro. Aparecerá la pantalla Seleccionar

perfil de usuario de herramientas de servicio a restaurar.2) Entre la opción 1 (Seleccionar) en el campo de opción, junto al perfil

que desee restaurar.

Salvar datos de seguridad de herramientas de servicio: Para salvar los datos deseguridad de herramientas de servicio:


|||

|

|

|

|

|||

|

|

|

||

|||

|

|

||

|||

|

||

|||

||

|||

|

|

|

|

||

||

||

||

1. Desde la pantalla Trabajar con datos de seguridad de herramientas de servicio,seleccione 5 (Salvar datos de seguridad de herramientas de servicio). Aparecerála pantalla Salvar datos de seguridad de herramientas de servicio.

2. Seleccione una de las opciones disponibles:v Cinta

a. Pulse Intro para salvar. Aparecerá la pantalla Trabajar con dispositivos decinta.

b. Puede elegir seleccionar, deseleccionar o visualizar detalles en cualquierade los dispositivos de cinta que aparezcan. Entre el valor de opciónapropiado en el campo de opción, junto al dispositivo de cinta en el quedesee salvar los datos de seguridad.

v Ópticoa. Pulse Intro para salvar. Aparecerá la pantalla Trabajar con dispositivos

ópticos.b. Puede elegir seleccionar, deseleccionar o visualizar detalles en cualquiera

de los dispositivos ópticos que aparezcan. Entre el valor de opciónapropiado en el campo de opción, junto al dispositivo óptico en el quedesee salvar los datos de seguridad.

Confirmación del nivel de contraseña: Para confirmar el nivel de contraseña:1. Desde la pantalla Trabajar con datos de seguridad de herramientas de servicio,

seleccione 6 (Nivel de contraseña). Aparecerá la pantalla Confirmación paraestablecer el nivel de contraseña.

2. Observe los mensajes del sistema que aparezcan.3. Pulse Intro para confirmar el cambio de nivel de contraseña.

Inicio de sesión en las Herramientas de servicio del sistema(SST)

En la V5R1, el procedimiento de inicio de sesión para acceder a las Herramientasde servicio del sistema (SST) ha cambiado ligeramente para proporcionar unamayor seguridad para el área de herramientas de servicio. Para acceder a SST:1. Teclee STRSST (Iniciar SST) en la línea de mandatos. Aparecerá la pantalla

Inicio de sesión de SST.

2. Entre la siguiente información:v Perfil de usuario: este perfil debe crearse desde el entorno DST (vea

“Creación de un perfil de usuario de herramientas de servicio” en lapágina 88).

v Contraseña: la frase de paso asociada con este perfil de usuario.3. Pulse Intro.

Inicio de sesión de SST

Perfil de usuario: ________________________

Contraseña de usuario: ________________________

Figura 24. Inicio de sesión de SST


||||||||||

|||

|||

|

|

||

||||

|

||

||||

|

|||

|

|

|

|

|||

|||

|

|||

|

|

Capítulo 8. Utilización de seguridad en particiones lógicas(LPAR)

Tener múltiples particiones lógicas en un solo sistema iSeries 400 podría serbeneficioso en los siguientes casos.v Mantenimiento de sistemas independientes: Dedicando una parte de los

recursos (unidad de almacenamiento de disco, procesadores, memoria ydispositivos de E/S) a una partición se consigue un aislamiento lógico delsoftware. Las particiones lógicas también tienen una cierta tolerancia a lasanomalías de hardware, si se configuran correctamente. Las cargas de trabajosinteractivos y de proceso por lotes, que juntas en una sola máquina es posibleque no se procesasen correctamente, pueden aislarse y ejecutarse con eficacia enparticiones separadas.

v Consolidación : Un sistema con particiones lógicas puede reducir el número desistemas iSeries 400 necesarios dentro de una empresa. Puede consolidar variossistemas en un único sistema con particiones lógicas. Esto elimina la necesidadde equipos adicionales y los gastos que conllevan. Puede desplazar los recursosde una partición lógica a otra a medida que cambien sus necesidades.

v Creación de un entorno mixto de producción y prueba: Puede crear un entornoque combine la producción y las pruebas. Puede crear una única partición deproducción en la partición primaria. Para múltiples particiones de producción,vea Creación de un entorno de múltiples particiones de producción más abajo.Una partición lógica puede ser una partición de prueba o de producción. Unapartición de producción ejecuta las principales aplicaciones comerciales. Unaanomalía en una partición de producción podría alterar las operacionescomerciales de forma significativa y costarle tiempo y dinero. Una partición deprueba realiza pruebas en el software. Una anomalía en una partición de prueba,aunque no está planificado necesariamente, no interrumpirá las operacionescomerciales normales.

v Creación de un entorno de múltiples particiones de producción: Solamentedebe crear múltiples particiones de producción en las particiones secundarias. Enesta situación dedicará la partición primaria a la gestión de particiones.

v Copia de seguridad en activo: Cuando una partición secundaria duplica otrapartición lógica dentro del mismo sistema, conmutar a la copia de seguridaddurante la anomalía de la partición no provocaría grandes molestias. Estaconfiguración también minimiza el efecto de los períodos de salvar prolongados.Puede tener la partición de copia de seguridad fuera de línea y salvar mientrasla otra partición lógica continúa realizando trabajos de producción. Necesitarásoftware especial para utilizar esta estrategia de copia de seguridad urgente.

v Cluster integrado: Utilizando OptiConnect/400 y un software de aplicaciones dealta disponibilidad, el sistema con particiones puede ejecutarse como un clusterintegrado. Puede utilizar un cluster integrado para proteger su sistema de lamayoría de anomalías no planificadas dentro de una partición secundaria.

Nota: Al configurar una partición secundaria es necesario realizar consideracionesadicionales para las ubicaciones de tarjetas. Si el procesador deentrada/salida (IOP) que seleccione para la consola también tiene una tarjetade LAN y dicha tarjeta LAN no está pensada para que se utilice con laConsola de operaciones, se activará para que la utilice la consola y usted nopodrá utilizarla para sus fines. Para obtener más información sobre cómotrabajar con la Consola de operaciones, consulte “Capítulo 9. Consejos parala utilización de la Consola de operaciones de AS/400” en la página 103.


|

||||||||

Consulte ″Particiones lógicas″ en el iSeries Information Center para obtenerinformación detallada sobre este tema.

Gestión de la seguridad para las particiones lógicasLas tareas relacionadas con la seguridad que realice en un sistema con particionesserán las mismas que en un sistema sin particiones lógicas. No obstante, al crearparticiones lógicas, trabaja con más de un sistema independiente. Por consiguiente,tendrá que realizar las mismas tareas en cada partición lógica en lugar derealizarlas una sola vez en un sistema sin particiones lógicas.

Estas son algunas de las normas básicas a recordar al tratar la seguridad en lasparticiones lógicas:v Se añaden los usuarios a las particiones lógicas del sistema de una partición en

una. Es necesario añadir los usuarios a cada partición lógica a la que desee queaccedan.

v Limite el número de personas que tengan autorización para ir a las herramientasde servicio dedicado (DST) y a las herramientas de servicio del sistema (SST) enla partición primaria. Consulte el tema ″Gestión de particiones lógicas conOperations Navigator junto con DST y SST″ en el iSeries Information Centerpara obtener más información sobre DST y SST. Consulte “Gestión deherramientas de servicio” en la página 84 para obtener información sobre el usode perfiles de usuario de herramientas de servicio para controlar el acceso a lasactividades de las particiones.

Nota: Debe inicializar el Service Tools Server (STS) antes de utilizar elOperations Navigator para acceder a funciones LPAR. Vea “Service ToolsServer (STS)” en la página 85 para obtener instrucciones.

v Las particiones secundarias no pueden ver ni utilizar el almacenamientoprincipal y las unidades de discos de otra partición lógica.

v Las particiones secundarias solamente pueden ver sus propios recursos dehardware.

v La partición primaria puede ver todos los recursos de hardware del sistema enlas pantallas Trabajar con particiones del sistema de DST y SST.

v El sistema operativo de la partición primaria sigue viendo solamente susrecursos disponibles.

v El panel de control del sistema controla la partición primaria. Cuando establecela modalidad del panel en Protegido (Secure), no pueden llevarse a caboacciones en la pantalla Trabajar con estado de las particiones desde SST. Paraforzar DST desde el panel de control del sistema, debe cambiar la modalidad aManual.

v Cuando establece la modalidad de operación de una partición secundaria comoprotegida, restringe el uso de Trabajar con estado de las particiones de lassiguientes maneras:– Solamente puede utilizar DST en la partición secundaria para cambiar el

estado de la partición; no puede utilizar SST para cambiar el estado departiciones.

– Solamente puede forzar DST en la partición secundaria desde la pantallaTrabajar con estado de las particiones de la partición primaria utilizando DSTo SST.

– Solamente puede utilizar DST en la partición primaria para cambiar lamodalidad de una partición secundaria de protegida a cualquier otro valor.


||

||||||||

|||

|

Una vez la modalidad de una partición secundaria ya no es la de protegida, puedeutilizar DST y SST en la partición secundaria para cambiar el estado de lapartición.

Para obtener más información sobre la seguridad en el iSeries 400, consulte elManual de consulta de seguridad y las páginas sobre Seguridad básica del sistemay planificación del iSeries Information Center.

Capítulo 8. Utilización de seguridad en particiones lógicas (LPAR) 101

Capítulo 9. Consejos para la utilización de la Consola deoperaciones de AS/400

En la V4R3, IBM introdujo la Consola de operaciones de AS/400, que le permiteutilizar su PC para acceder al sistema iSeries y controlarlo. En la V4R4 se añadiósoporte para que un PC remoto pudiera establecer conexión con un iSeries sin undispositivo de consola y convertirse en consola. Cuando utilice la Consola deoperaciones, tenga en cuenta lo siguiente:v Desde la Consola de operaciones puede llevar a cabo las mismas tareas que

realizaba desde una consola tradicional. Por ejemplo, los perfiles de usuario quetienen autorización especial *SERVICE o *ALLOBJ pueden iniciar la sesión en laConsola de operaciones, incluso si están inhabilitados.

v La Consola de operaciones utiliza perfiles de usuario y contraseñas deherramientas de servicio para habilitar la conexión con iSeries 400. Esto hace quesea de especial importancia modificar sus perfiles de usuario y contraseñas deherramientas de servicio. Es posible que los intrusos estén familiarizados con losID de usuario y las contraseñas por omisión de los perfiles de usuario deherramientas de servicio, por lo que podrían utilizarlos para intentar estableceruna sesión de consola remota en el iSeries. Vea “Cambio de contraseñasconocidas públicamente” en la página 31 y “Cómo evitar las contraseñas poromisión” en la página 38 para obtener consejos sobre las contraseñas.

v Para proteger su información al utilizar la Consola remota, utilice la opción deretorno de llamada de las Redes de marcación Windows.

v Al configurar una partición secundaria es necesario realizar consideracionesadicionales para las ubicaciones de tarjetas. Si el procesador de entrada/salida(IOP) que seleccione para la consola también tiene una tarjeta de LAN y dichatarjeta LAN no está pensada para que se utilice con la Consola de operaciones,la consola la activará y puede que usted no pueda utilizarla.

En la V5R1, se ha mejorado la Consola de operaciones para permitir que serealicen actividades de consola en una red de área local (LAN). La mejora en laautenticación y el cifrado de datos proporciona seguridad de red para losprocedimientos de consola. Para utilizar la Consola de operaciones conconectividad LAN, se recomienda encarecidamente que instale los siguientesproductos:v Cryptographic Access Provider, 5722–AC2 ó 5722–AC3 en el iSeries 400v Client Encryption, 5722–CE2 ó 5722–CE3 en el PC Consola de operaciones

Para que se cifren los datos de la consola, el iSeries debe tener instalado uno de losproductos Cryptographic Access Provider y el PC debe tener instalado uno de losproductos Client Encryption.

Nota: Si no se instala ningún producto criptográfico no habrá cifrado de datos.

La tabla siguiente resume los resultados de cifrado de los productos disponibles:

Tabla 13. Resultados de cifrado

Cryptographic AccessProvider en el iSeries 400

Client Encryption en el PCConsola de operaciones

Cifrado de datos resultante

NONE NONE NONE

5722–AC2 5722–CE2 56 bits


|||||

||||

|||||||||

||

|||||

||||||

|

|

|||

|

|

||

|||||

|||

|||

Tabla 13. Resultados de cifrado (continuación)

Cryptographic AccessProvider en el iSeries 400

Client Encryption en el PCConsola de operaciones

Cifrado de datos resultante

5722–AC2 5722–CE3 56 bits

5722–AC3 5722–CE2 56 bits

5722–AC3 5722–CE3 128 bits

Para obtener información adicional sobre la puesta a punto y la administración deAS/400 Consola de operaciones, vea Configuración de Consola de operaciones.

Visión general de la seguridad de la Consola de operacionesLa seguridad de la Consola de operaciones consta de:v autenticación del dispositivo de consolav autenticación de usuariov privacidad de los datosv integridad de los datos

La Consola de operaciones con conectividad directa tiene implícitas laautenticación de dispositivo, la privacidad de datos y la integridad de datosdebido a su conexión punto a punto. La seguridad de autenticación de usuario esnecesaria para iniciar la sesión en la pantalla de la consola.

Autenticación del dispositivo de consolaLa autenticación del dispositivo de consola asegura qué dispositivo físico es laconsola. La Consola de operaciones con conectividad directa utiliza una conexiónfísica similar a una consola twinaxial. La Consola de operaciones que utiliza unaconexión directa puede protegerse físicamente de forma similar a una conexióntwinaxial para controlar el acceso al dispositivo de consola físico.

La Consola de operaciones con conectividad LAN utiliza una versión de la capa desockets segura (SSL) que soporta la autenticación de dispositivos y usuarios perosin utilizar certificados. Para esta forma de conexión, la autenticación dedispositivo se basa en un perfil de dispositivo de herramientas de servicio. Vea“Utilización de perfiles de dispositivo de herramientas de servicio” en la página 91para obtener información sobre la utilización de perfiles de dispositivo deherramientas de servicio. Consulte la página 105 para obtener más detalles.

Autenticación de usuarioLa autenticación de usuario proporciona una garantía sobre quién está utilizandoel dispositivo de consola. Todos los temas relacionados con la autenticación deusuario son los mismos, independientemente del tipo de consola.

Privacidad de datosLa privacidad de datos proporciona la seguridad de que los datos de la consolasolamente podrá leerlos el destinatario correcto. La Consola de operaciones conconectividad directa utiliza una conexión física similar a una consola twinaxial ouna conexión de red segura para que la conectividad de la LAN proteja los datosde la consola. La Consola de operaciones que utiliza una conexión directa tiene lamisma privacidad de datos que una conexión twinaxial. Si la conexión física essegura, los datos de la consola permanecen protegidos.


|

|||||

|||

|||

||||

|

|

|

|

|

|

|

||||

|

|||||

|||||||

|

|||

|

|||||||

La Consola de operaciones con conectividad LAN utiliza una conexión de redsegura si están instalados los productos criptográficos adecuados (ACx y CEx). Lasesión de consola utiliza el cifrado más potente posible dependiendo de losproductos criptográficos instalados en el iSeries y en el PC que ejecute la Consolade operaciones.

Nota: Si no se instala ningún producto criptográfico, no habrá cifrado de datos.

Integridad de datosLa integridad de datos proporciona la seguridad de que los datos de la consola nohan cambiado por el camino hasta el destinatario. La Consola de operaciones conconectividad directa utiliza una conexión física similar a una consola twinaxial ouna conexión de red segura para que la conectividad de la LAN proteja los datosde la consola. La Consola de operaciones que utiliza una conexión directa tiene lamisma integridad de datos que una conexión twinaxial. Si la conexión física essegura, los datos de la consola permanecen protegidos.

La Consola de operaciones con conectividad LAN utiliza una conexión de redsegura si están instalados los productos criptográficos adecuados (ACx y CEx). Lasesión de consola utiliza el cifrado más potente posible dependiendo de losproductos criptográficos instalados en el iSeries y en el PC que ejecute la Consolade operaciones.

Nota: Si no se instala ningún producto criptográfico, no habrá cifrado de datos.

Consejos para la utilización de la Consola de operaciones conconectividad LAN

Nota: Cualquier dispositivo de Consola de operaciones puede ser una consola,pero solamente las configuraciones con base LAN utilizan el perfil deusuario de herramientas de servicio.

El iSeries se entrega con un perfil de dispositivo de herramientas de servicio poromisión QCONSOLE, con una contraseña por omisión QCONSOLE. La Consola deoperaciones con conectividad LAN cambiará la contraseña durante cada conexiónsatisfactoria. Vea “Utilización del asistente de configuración de la Consola deoperaciones” en la página 106 para obtener más información.

Para obtener información adicional sobre la Consola de operaciones conconectividad LAN de iSeries 400, consulte el Information Center (vea “Requisitos einformación relacionada” en la página xii para conocer más detalles).

Consejos para la protección de la Consola de operaciones conconectividad LAN

Al utilizar la Consola de operaciones con conectividad LAN, se recomienda llevara cabo las siguientes acciones:v Cree otro perfil de dispositivo de herramientas de servicio con atributos de

consola y guarde la información del perfil en un lugar seguro.v Instale Cryptographic Access Provider, 5722–AC2 ó 5722–AC3 en el iSeries 400 y

Client Encryption, 5722–CE2 ó 5722–CE3 en el PC Consola de operaciones.v Elija una contraseña de información de dispositivo de servicio que no sea trivial.

Para obtener más información sobre las contraseñas de dispositivo de

Capítulo 9. Consejos para la utilización de la Consola de operaciones de AS/400 105

|||||

|

|

|||||||

|||||

|

||

|

|||

|||||

|||

|

|

||

||

||

||

herramientas de servicio, vea “Utilización de perfiles de dispositivo deherramientas de servicio” en la página 91.

v Proteja el PC Consola de operaciones de la misma manera que protegería unaconsola twinaxial o una Consola de operaciones con conectividad directa.

Utilización del asistente de configuración de la Consola deoperaciones

El asistente de configuración añadirá la información necesaria al PC al utilizar laConsola de operaciones con conectividad LAN. El asistente de configuraciónsolicita el perfil de dispositivo de herramientas de servicio, la contraseña de perfilde dispositivo de herramientas de servicio y una contraseña para proteger lainformación del perfil de dispositivo de herramientas de servicio.

Nota: La contraseña de la información del perfil de dispositivo de herramientas deservicio se utiliza para bloquear y desbloquear la información del perfil dedispositivo de herramientas de servicio (perfil de dispositivo deherramientas de servicio y contraseña) en el PC.

Al establecer una conexión de red, el asistente de configuración de la Consola deoperaciones le solicitará la contraseña de la información de dispositivo de serviciopara acceder al perfil de dispositivo de herramientas de servicio y contraseña queestán cifrados. También se le solicitará una identificación de usuario y contraseñade herramientas de servicio válidos.

Figura 25. Las contraseñas protegen la información del perfil de dispositivo de servicio


|

|||

||

||

||

|

||||||

||||

|||||

Capítulo 10. Detección de programas sospechosos

Las últimas tendencias en la utilización de sistemas informáticos han aumentado laprobabilidad de que el sistema tenga programas de fuentes no fiables o programasque llevan a cabo funciones desconocidas. Ejemplos de esto son:v Un usuario de PC a menudo obtiene programas de otros usuarios de PC. Si el

PC está conectado al sistema iSeries, el programa puede afectar al iSeries.v Los usuarios que se conectan a redes también pueden obtener programas, por

ejemplo, de los tablones de anuncios.v Los piratas informáticos se han vuelto cada vez más activos y famosos. A

menudo publican sus métodos y sus resultados. Esto puede llevar a su imitaciónpor parte de programadores que son normalmente respetuosos con la ley.

Estas tendencias han conducido a un problema en la seguridad de los sistemas quese denomina virus informático. Un virus es un programa que puede modificarotros programas para incluir una copia de sí mismo. Los demás programas quedanentonces infectados por el virus. Además, el virus puede realizar otras operacionesque pueden ocupar recursos del sistema o destruir datos.

La arquitectura del iSeries proporciona cierta protección contra las característicasinfecciosas de un virus informático. Esto se describe en el apartado “Proteccióncontra los virus informáticos”. Un administrador de seguridad de iSeries debepreocuparse más de los programas que realizan funciones no autorizadas. Lostemas restantes de este capítulo describen las maneras en que alguien conintenciones poco fiables puede preparar programas dañinos para ejecutarlos en elsistema. Los temas proporcionan consejos para evitar que los programas lleven acabo funciones no autorizadas.

Consejo de seguridadLa autorización sobre objetos es siempre la primera línea de defensa. Si notiene un buen plan para proteger los objetos, el sistema estará indefenso. Eneste capítulo se tratan las maneras en que un usuario autorizado puedeintentar sacar partido de los agujeros del esquema de autorización de objetos.

Protección contra los virus informáticosUn sistema que tiene una infección por virus tiene un programa que puedecambiar otros programas. La arquitectura del iSeries, basada en objetos, hace másdifícil que alguien produzca y disperse este tipo de virus en esta arquitectura queen otras arquitecturas de sistemas. En el iSeries, puede utilizar mandatosespecíficos e instrucciones para trabajar en cada tipo de objeto. No puede utilizaruna instrucción de archivo para cambiar un objeto de programa operativo (que eslo que hacen la mayoría de los creadores de virus). Tampoco puede crearfácilmente un programa que cambie otro objeto de programa. Para hacer esto esnecesario un tiempo, un esfuerzo y una habilidad considerables y también esnecesario tener acceso a herramientas y documentación que no están disponiblesgeneralmente.

Sin embargo, debido a que hay funciones nuevas del iSeries que están disponiblespara participar en el entorno de sistemas abiertos, algunas de las funciones de


protección basadas en objetos del iSeries ya no se aplican. Por ejemplo, con elsistema de archivos integrado, los usuarios pueden manipular directamentealgunos objetos en los directorios, tales como archivos continuos.

Además, a pesar de que la arquitectura del iSeries dificulta que un virus sedisperse entre programas del iSeries, su arquitectura no evita que un iSeries sea unportador del virus.Como servidor de archivos, el iSeries puede almacenarprogramas que comparten muchos usuarios de PC.Alguno de estos programaspuede contener un virus que el sistema iSeries no detecte.Para evitar que este tipode virus infecte los PC conectados al servidor del iSeries, debe utilizar software dedetección de virus para PC.

Existen varias funciones en el iSeries para evitar que nadie utilice un lenguaje debajo nivel con soporte para punteros para alterar un programa objeto operativo:v Si el sistema funciona a un nivel de seguridad 40 o superior, la protección de

integridad incluye protecciones contra el cambio de los objetos de programa. Porejemplo, no se puede ejecutar satisfactoriamente un programa que contieneinstrucciones de máquina bloqueadas (protegidas).

v En un nivel de seguridad 40 o superior, el valor de validación del programatambién esta pensado como protección de una operación de restaurar de unprograma salvado (y potencialmente cambiado) en otro sistema. En el capítulo 2de la publicación iSeries Security Reference se describen las funciones deprotección de la seguridad para el nivel de seguridad 40 y superior, incluyendovalores de validación del programa.

Nota: El valor de validación del programa no es infalible y no sustituye a lavigilancia de la evaluación de los programas que se restauran en elsistema.

Algunas herramientas también están disponibles para ayudarle a detectar laintroducción de un programa alterado en el sistema:v Puede utilizar el mandato Comprobar integridad de objetos (CHKOBJITG) para

explorar los objetos (objetos operables) que cumplan los valores de búsqueda,para asegurarse de que esos objetos no fueron alterados. Esto es parecido a unafunción de detección de virus.

v Puede utilizar la función de auditoría de seguridad para supervisar losprogramas cambiados o restaurados. Los valores *PGMFAIL, *SAVRST y*SECURITY para el valor del sistema de nivel de autorización proporcionanregistros de auditoría que pueden ayudarle a detectar intentos de introducir unprograma de tipo virus en el sistema. En el capítulo 9 y en el Apéndice F de lapublicación iSeries Security Reference se proporciona más información acerca delos valores de auditoría y las entradas de diario de auditoría.

v Puede utilizar el parámetro Forzar creación (FRCCRT) del mandato Cambiarprograma (CHGPGM) para volver a crear cualquier programa que se hayarestaurado en el sistema. El sistema utiliza la plantilla del programa(información observable) para volver a crearlo. Si el objeto de programa se hacambiado después de compilarlo, el sistema vuelve a crear el objeto cambiado ylo sustituye. Si la plantilla del programa contiene instrucciones bloqueadas(protegidas) y trabaja con el nivel de seguridad 40 o superior, el sistema novolverá a crear el programa de forma satisfactoria.

v Puede utilizar el valor del sistema QVFYOBJRST (verificar objetos enrestauración) para evitar la restauración de programas que no tengan una firmadigital o que no tengan una firma digital válida. Cuando una firma digital no es


|||

válida, significa que se ha modificado el programa desde que lo firmó sudesarrollador. Existen APIs que le permiten firmar sus propios programas,archivos de salvar y archivos continuos.

Para obtener más información sobre la firma y cómo puede utilizarse para protegerel sistema ante ataques, consulte “Consejos para la firma de objetos” en lapágina 122.

Supervisión de la utilización de autorización adoptadaEn iSeries, puede crear un programa que adopte la autorización de supropietario.Esto significa que cualquier usuario que ejecute el programa tendrá lasmismas autorizaciones (privadas y especiales) que el perfil de usuario propietariodel programa.

La autorización adoptada es una herramienta de seguridad de gran utilidad si seutiliza correctamente. En “Consejos para mejorar el control de acceso a menús conla seguridad de objetos” en la página 61, por ejemplo, se describe cómo secombinan las autorizaciones adoptadas y los menús para ir más allá del control deacceso a los menús. Puede utilizar la autorización adoptada para impedir lamodificación de los archivos importantes fuera de los programas de aplicaciónaprobados al tiempo que se permite la realización de consultas en ellos.

Como administrador de seguridad, debe asegurarse de que la autorizaciónadoptada se utiliza correctamente:v Los programas deben adoptar la autorización de un perfil de usuario que sólo

tenga autorización para realizar las funciones necesarias. Debe tener especialcuidado con los programas que adoptan la autorización de un perfil de usuarioque tenga la autorización especial *ALLOBJ o que sea propietario de objetosimportantes.

v Los programas que adoptan autorización deben tener funciones limitadas yespecíficas, y no deben proporcionar la posibilidad de entrar mandatos.

v Los programas que adoptan autorización deben estar protegidos de formaadecuada.

v El uso excesivo de la autorización adoptada puede tener un efecto negativo en elrendimiento del sistema. Para obtener información que le ayude a evitarproblemas de rendimiento, revise los diagramas de flujo de comprobación deautorización y las sugerencias para la utilización de la autorización adoptadaque se incluye en Capítulo 5 de la publicación iSeries Security Reference.


Puede utilizar el mandato Imprimir objetos que adoptan (PRTADPOBJ)(opción 21 del menú SECTOOLS) para que le resulte más fácil supervisar lautilización de la autorización adoptada en el sistema.

La Figura 26 en la página 110 muestra un ejemplo de la salida de estemandato:

Capítulo 10. Detección de programas sospechosos 109

|||

|||

La Figura 26 muestra información para un perfil de usuario, CJWLDR. Muestra lasautorizaciones especiales de CJWLDR y los programas que adoptan la autorizaciónde CJWLDR. En este ejemplo, cualquiera que tenga acceso a una línea de mandatospuede ejecutar los programas que adoptan la autorización de CJWLDR, ya que losprogramas tienen autorización de uso público *USE. Este ejemplo evidencia unserio riesgo de seguridad potencial a causa de las autorizaciones especiales deCJWLDR.

Después de establecer una base de información, puede imprimir regularmente laversión modificada del informe de objetos adoptados. En él figuran los programasnuevos que adoptan autorización y los programas que se han modificado para queadoptasen la autorización desde la última vez que se generó el informe. LaFigura 27 muestra un ejemplo del informe de modificación:

Si sospecha que la autorización adoptada se está utilizando de modo incorrecto enel sistema, puede definir el valor del sistema QAUDLVL de modo que incluya*PGMADP. Cuando este valor está activo, el sistema crea una entrada de diario deauditoría cada vez que se arranca o se finaliza un programa que adopta laautorización. La entrada incluye el nombre del usuario que ha arrancado elprograma y el nombre del programa.

Limitación de la utilización de la autorización adoptadaCuando se ejecuta un programa de iSeries, el programa puede utilizar autorizaciónadoptada para tener acceso a objetos de dos maneras distintas:v El programa en sí puede adoptar la autorización del propietario. Esto se

especifica en el parámetro Perfil de usuario (USRPRF) del programa o delprograma de servicio.

v El programa puede utilizar (heredar) la autorización adoptada de un programaanterior que aún esté en la pila de llamadas del trabajo. Un programa puedeheredar la autorización adoptada de programas anteriores incluso aunque el

Objetos adoptados por perfil de usuario (informe completo)

Perfil de usuario . . . . . . : CJWLDRAutorizaciones especiales . . : *ALLOBJ *AUDIT *IOSYSCFG *JOBCTL

*SAVSYS *SECADM *SERVICE *SPLCTL----------Objeto------------- -----Biblioteca------

Autoriz. Autoriz. Autoriz.Nombre Tipo uso públ. Nombre uso públ. privadasPGM1 *PGM *USE LIB1 *USE YPGM2 *PGM *CHANGE LIB2 *USE N

Figura 26. Informe de objetos adoptados por perfil de usuario-Informe completo

Objetos adoptados por perfil de usuario (informe de modificación)Perfil de usuario . . . . . . : CJWLDRAutorizaciones especiales . . : *ALLOBJ *AUDIT *IOSYSCFG *JOBCTL

*SAVSYS *SECADM *SERVICE *SPLCTLÚltima modificación del informe: 01/21/96 14:23:53----------Objeto------------- ------Biblioteca--------

Autoriz. Autoriz. Autoriz.Nombre Tipo uso públ. Nombre uso públ. privadasPGMX *PGM *CHANGE LIB3 *CHANGE YPGMY *PGM *USE LIB4 *USE N

Figura 27. Informe de objetos adoptados por perfil de usuario-Informe de modificación


programa mismo no adopte autorización. El parámetro Utilizar autorizaciónadoptada (USEADPAUT) de un programa o de un programa de servicio controlasi el programa hereda la autorización adoptada de los programas anteriores dela pila de programas.

A continuación se proporciona un ejemplo de cómo funciona la utilización de laautorización adoptada de programas anteriores.

Suponga que el perfil de usuario ICOWNER tiene autorización *CHANGE sobre elarchivo ITEM y que la autorización de uso público sobre el archivo ITEM es *USE.Ningún otro perfil tiene una autorización definida explícitamente sobre el archivoITEM. En Tabla 14 se muestran los atributos para tres programas que utilizan elarchivo ITEM:

Tabla 14. Ejemplo de Utilizar autorización adoptada (USEADPAUT)Nombre delprograma

Propietario delprograma Valor del USRPRF Valor del USEADPAUT

PGMA ICOWNER *OWNER *YESPGMB ICOWNER *USER *YESPGMC ICOWNER *USER *NO

Ejemplo 1–Adoptar autorización:1. USERA ejecuta el programa PGMA.2. El programa PGMA intenta abrir el archivo ITEM con la posibilidad de

actualización.

Resultado: El intento es satisfactorio. USERA tiene acceso *CHANGE para elarchivo ITEM porque PGMA adopta la autorización de ICOWNER.

Ejemplo 2–Utilizar la autorización adoptada;:1. USERA ejecuta el programa PGMA.2. El programa PGMA llama al programa PGMB.3. El programa PGMB intenta abrir el archivo ITEM con posibilidad de

actualización.

Resultado: El intento es satisfactorio. A pesar de que el programa PGMB no adoptaautorización (*USRPRF es *USER), permite que se utilice una autorizaciónadoptada anteriormente (*USEADPAUT es *YES). El programa PGMA está todavíaen la pila de programas. Por lo tanto USERA obtiene acceso *CHANGE al archivoITEM porque PGMA adopta la autorización de ICOWNER.

Ejemplo 3–No utilizar la autorización adoptada:1. USERA ejecuta el programa PGMA.2. El programa PGMA llama al programa PGMC.3. El programa PGMC intenta abrir el archivo ITEM con posibilidad de

actualización.

Resultado: Anomalía en la autorización. El programa PGMC no adopta laautorización. El programa PGMC tampoco permite la utilización de autorizacionesadoptadas de programas anteriores. A pesar de que PGMA está todavía en la pilade llamadas, su autorización adoptada no se utiliza.

Evitar que programas nuevos utilicen autorización adoptadaEl paso de la autorización adoptada a programas posteriores de la pila proporcionauna oportunidad para un programador experto de crear un programa caballo de


Troya. El programa caballo de Troya puede apoyarse en programas anteriores de lapila para obtener la autorización que necesita para realizar acciones no permitidas.Para evitarlo, se pueden limitar los usuarios con permiso para crear programas queutilicen la autorización adoptada de programas anteriores.

Al crear un nuevo programa, el sistema establece automáticamente el parámetroUSEADPAUT en *YES. Si no quiere que el programa herede autorización adoptada,debe utilizar el mandato Cambiar programa (CHGPGM) o el mandato Cambiarprograma de servicio (CHGSRVPGM) para establecer el parámetro USEADPAUTen *NO.

Con la V3R2 y V3R7, puede utilizar una lista de autorizaciones y el valor delsistema de uso de autorización adoptada (QUSEADPAUT) para controlar quiénpuede crear programas que hereden la autorización adoptada. Al especificar unnombre de lista de autorizaciones en el valor del sistema QUSEADPAUT, elsistema utiliza esta lista de autorizaciones para determinar cómo crear nuevosprogramas.

Cuando un usuario crea un programa o un programa de servicio, el sistemacomprueba la autorización del usuario sobre la lista de autorizaciones. Si el usuariotiene autorización *USE, el parámetro USEADPAUT para el nuevo programa seestablece en *YES. Si el usuario no tiene la autorización *USE, el parámetroUSEADPAUT se establece en *NO. La autorización del usuario sobre la lista deautorizaciones no puede proceder de una autorización adoptada.

La lista de autorizaciones que se especifique en el valor del sistema QUSEADPAUTcontrola también si un usuario puede utilizar un mandato CHGxxx para establecerel valor USEADPAUT para un programa o un programa de servicio.

Notas:

1. No es necesario denominar la lista de autorizaciones como QUESADPAUT.Puede crear una lista de autorizaciones con otro nombre. Después especifiquedicha lista para el valor del sistema QUSEADPAUT. En los mandatos de esteejemplo, sustituya el nombre por el de su lista de autorización.

2. El valor del sistema QUSEADPAUT no afecta a los programas existentes en elsistema. Utilice el mandato CGHPGM o CHGSRVPGM para establecer elparámetro USEADPAUT para los programas existentes.

Entorno más restrictivo: Si desea que la mayoría de los usuarios creen programasnuevos con el parámetro USEADPAUT establecido en *NO, haga lo siguiente:1. Para establecer la autorización de uso público para la lista de autorizaciones en

*EXCLUDE, teclee lo siguiente:CHGAUTLE AUTL(QUSEADPAUT) USER(*PUBLIC)

AUT(*EXCLUDE)

2. Para configurar usuarios específicos que puedan crear programas que utilicenla autorización adoptada de programas anteriores, teclee lo siguiente:ADDAUTLE AUTL(QUSEADPAUT) USER(nombre-usuario)

AUT(*USE)

Entorno menos restrictivo: Si desea que la mayoría de los usuarios creenprogramas nuevos con el parámetro USEADPAUT establecido en *YES, haga losiguiente:1. Deje la autorización de uso público para la lista de autorizaciones establecida

en *USE.


2. Para evitar que determinados usuarios creen programas que utilicen laautorización adoptada de programas anteriores, teclee lo siguiente:ADDAUTLE AUTL(QUSEADPAUT)

USER(nombre-usuario) AUT(*EXCLUDE)

Supervisión de la utilización de programas desencadenantesDB2 UDB proporciona la posibilidad de asociar programas desencadenantes conarchivos de base de datos. La posibilidad de tener programas desencadenantes escomún en el mercado para los gestores de bases de datos de alta funcionalidad.

Cuando se asocia un programa desencadenante con un archivo de base de datos,debe especificarse cuándo se ejecutará el programa. Por ejemplo, puede preparar elarchivo de pedidos de clientes para que se ejecute un programa desencadenantesiempre que se añade un registro al archivo. Cuando el saldo pendiente del clientesobrepasa el límite de crédito, el programa desencadenante puede imprimir unacarta de aviso al cliente y enviar el mensaje al director de créditos.

Los programas desencadenantes son un método eficaz para proporcionar funcionesde aplicación y para gestionar la información. Los programas desencadenantestambién proporcionan la posibilidad de que alguien malintencionado pueda crearprogramas “Caballo de Troya” en su sistema. Puede haber un programadestructivo en espera de ejecutarse cuando se produzca un evento determinado enun archivo de bases de datos del sistema.

Nota: El caballo de Troya era un caballo de madera hueco de gran tamaño queestaba lleno de soldados griegos. El caballo fue introducido dentro de lasmurallas de Troya, los soldados salieron del caballo y lucharon contra losTroyanos. En el mundo informático, un programa que oculta funcionesdestructivas a menudo recibe el nombre de ″caballo de Troya″.


Cuando el sistema sale de fábrica, la posibilidad de añadir un programadesencadenante a un archivo de base de datos está restringida. Si gestiona laautorización sobre objeto cuidadosamente, el usuario normal no tendráautorización suficiente para añadir un programa desencadenante a un archivode base de datos. (En el Apéndice D de la publicación iSeries Security Referencese indican la autorización necesaria o todos los mandatos, incluyendo elmandato Añadir desencadenante de archivos físicos (ADDPFTRG)).

Puede utilizar el mandato Imprimir programas desencadenantes(PRTTRGPGM) para imprimir una lista de todos los programasdesencadenantes de una biblioteca determinada o de todas las bibliotecas. LaFigura 28 en la página 114 muestra un ejemplo del informe:


Puede utilizar el informe inicial como base para evaluar los programasdesencadenantes que ya existen en el sistema. Después puede imprimir el informede modificación regularmente para ver si se han añadido nuevos programasdesencadenantes en el sistema.

Cuando evalúe los programas desencadenantes, tenga en cuenta lo siguiente:v Quién ha creado el programa. Puede utilizar el mandato Visualizar descripción

de objeto (DSPOBJD) para determinarlo.v Qué hace el programa. Tendrá que ver el programa fuente o consultar al creador

del programa para averiguarlo. Por ejemplo, ¿comprueba el programadesencadenante quién es el usuario? Quizá el programa desencadenante está a laespera de un usuario determinado (QSECOFR) para obtener el acceso a losrecursos del sistema.

Después de establecer una base de información, puede imprimir el informe demodificación regularmente para supervisar los nuevos programas desencadenantesque se hayan añadido al sistema. La Figura 29 muestra un ejemplo del informe demodificación:

Comprobación de programas ocultosLos programas desencadenantes no son la única forma posible de introducir uncaballo de Troya en el sistema. Los programas desencadenantes son un ejemplo deun programa de salida. Cuando se produce un evento determinado, tal como laactualización de un archivo en el caso de un programa desencadenante, el sistemaejecuta el programa de salida asociado al evento.

La Tabla 15 en la página 115 describe otros ejemplos de programas de salida quepueden estar en el sistema. Debe utilizar los mismos métodos para evaluar lautilización y el contenido de estos programas de salida que utiliza para programasdesencadenantes.

Nota: La Tabla 15 en la página 115 no es una lista completa de los programas desalida posibles.

.

Programas desencadenantes (informe completo)

Biblioteca especificada . . . : CUSTLIBBiblioteca Programa Hora Evento Condición

Biblioteca Archivo Desencadenante Desencadenante Desencadenante Desencadenante DesencadenanteCUSTLIB MB106 ARPGMLIB INITADDR Antes Actualización SiempreCUSTLIB MB107 ARPGMLIB INITNAME Antes Actualización Siempre

Figura 28. Informe de Imprimir programas desencadenantes-Ejemplo de informe completo

Programas desencadenantes (informe de modificación)Biblioteca especifica . . . . . . : LIBXÚltima modificación del informe: 96/01/21 14:33:37

Biblioteca Programa Hora Evento CondiciónBiblioteca Archivo Desenc. Desenc. Desenc. Desenc. Desenc.INVLIB MB108 INVPGM NEWPRICE Después Suprimir SiempreINVLIB MB110 INVPGM NEWDSCNT Después Suprimir Siempre

Figura 29. Informe de Imprimir programas desencadenantes-Ejemplo de informe de modificación


Tabla 15. Programas de salida proporcionados por el sistema

Nombre del programa Cuándo se ejecuta el programa

Nombre especificado por el usuario en elatributo de red DDMACC.

Cuando un usuario intenta abrir un archivo DDM en el sistema o efectúauna conexión DRDA.

Nombre especificado por el usuario en elatributo de red PCSACC.

Cuando un usuario intenta utilizar las funciones de Client Accessmediante Original Clients para acceder a objetos en el sistema.

Nombre especificado por el usuario en elvalor del sistema QPWDVLDPGM.

Cuando un usuario ejecuta la función Cambiar contraseña

Nombre especificado por el usuario en elvalor del sistema QRMTSIGN.

Cuando un usuario intenta iniciar la sesión de forma interactiva desdeun sistema remoto.

QSYS/QEZUSRCLNP Cuando se ejecuta la función de limpieza automática.

Nombre especificado por el usuario en elparámetro EXITPGM del mandatoCHGBCKUP.

Cuando utiliza la función de copia de seguridad de Operation Assistant.

Nombres especificados por el usuario enel mandato CRTPRDLOD.

Antes y después de salvar, restaurar o suprimir el producto creado con elmandato.

Nombre especificado por el usuario en elparámetro DFTPGM del mandatoCHGMSGD.

Si se especifica un programa por omisión para un mensaje, el sistemaejecuta el programa cuando se emite el mensaje. Debido al gran númerode descripciones de mensaje en un sistema típico, la utilización deprogramas por omisión es difícil de supervisar. Para evitar que losusuarios públicos añadan programas por omisión para mensajes,considere la posibilidad de establecer la autorización de uso público paraarchivos de mensajes (objetos *MSGF) en *USE.

Nombre especificado por el usuario en elparámetro FKEYPGM del mandatoSTREML3270.

Cuando el usuario pulsa una tecla de función durante la sesión deemulación de dispositivo 3270. El sistema devuelve el control a la sesiónde emulación de dispositivo 3270 cuando finaliza el programa de salida.

Nombre especificado por el usuario en elparámetro EXITPGM de los mandatos desupervisión del rendimiento.

Para procesar datos recogidos por los mandatos siguientes:STRPFRMON, ENDPFRMON, ADDPFRCOL y CHGPFRCOL. Elprograma se ejecuta cuando finaliza la recogida de datos.

Nombre especificado por el usuario en elparámetro EXITPGM del mandatoRCVJRNE.

Para cada entrada de diario o grupo de entradas de diario que se hanleído del diario y receptor de diario especificados.

Nombre especificado por el usuario en laAPI QTNADDCR.

Durante una operación COMMIT o ROLLBACK.

Nombres especificados por el usuario enla API QHFRGFS.

Para realizar las funciones del sistema de archivos.

Nombre especificado por el usuario en elparámetro SEPPGM de una descripciónde dispositivo de impresora.

Para determinar qué imprimir en la página separadora antes o despuésde un archivo en spool o de un trabajo de impresión.

QGPL/QUSCLSXT Cuando se cierra un archivo de base de datos para permitir la captura deinformación de uso del archivo.

Nombre especificado por el usuario en elparámetro FMTSLR de un archivo lógico.

Cuando se graba un registro en una archivo de base de datos y no seincluye un nombre de formato de registro en el programa de lenguaje dealto nivel. El programa selector recibe el registro como entrada,determina el formato de registro utilizado y lo devuelve a la base dedatos.

Nombre especificado por el usuario quese especifica en el valor del sistemaQATNPGM, el parámetro ATNPGM enun perfil de usuario o el parámetro PGMdel mandato SETATNPGM.

Cuando un usuario pulsa la tecla Atención.


|||

Tabla 15. Programas de salida proporcionados por el sistema (continuación)

Nombre del programa Cuándo se ejecuta el programa

Nombre especificado por el usuario en elparámetro EXITPGM del mandatoTRCJOB.

Antes de empezar el procedimiento de Rastreo de trabajo.

En el caso de los mandatos que permiten especificar un programa de salida, debeasegurarse de que el valor por omisión del mandato no se ha cambiado paraespecificar un programa de salida. También debe asegurarse de que la autorizaciónde uso público para estos mandatos no sea suficiente para cambiar el valor poromisión del mandato. El mandato CHGCMDDFT necesita autorización *OBJMGTpara el mandato. El usuario no necesita autorización *OBJMGT para ejecutar unmandato.

Evaluación de programas de salida registradosPuede utilizar la función de registro del sistema para registrar programas de salidaque deben ejecutarse cuando tienen lugar determinados eventos. Para listar lainformación de registro en el sistema, teclee WRKREGINF OUTPUT(*PRINT). LaFigura 30 muestra un ejemplo del informe:

Para cada punto de salida del sistema, el informe muestra si hay programas desalida registrados actualmente. Cuando un punto de salida tiene programasregistrados actualmente, puede seleccionar la opción 8 (Visualizar programas) de laversión de pantalla de WRKREGINF para visualizar información acerca de losprogramas:

Trabajar con Información de RegistroPunto de salida . . . . . . . . . . . : QIBM_QGW_NJEOUTBOUNDFormato de punto de salida . . . . . . : NJEO0100Punto de salida registrado . . . . . . : *YESPermitir quitar registro . . . . . . . : *YESNúm. máx. de programas de salida . . . : *NOMAXNúm. actual de programas de salida . . : 0Proceso previo para añadir . . . . . . : *NONEBiblioteca . . . . . . . . . . . . . :Formato . . . . . . . . . . . . . . :

Proceso previo para eliminar . . . . . : *NONEBiblioteca . . . . . . . . . . . . . :Formato . . . . . . . . . . . . . . :

Proceso previo para recuperar . . . . : *NONEBiblioteca . . . . . . . . . . . . . :

Figura 30. Trabajar con información de registro - ejemplo


Trabajar con Información de Registro

Teclee opciones, pulse Intro.5=Visualizar punto de salida 8=Trabajar con programas de salida

FormatoPunto de punto

Opc de salida salida Registrado TextoQIBM_QGW_NJEOUTBOUND NJEO0100 *YES Entrada de trabajo de red ext

8 QIBM_QHQ_DTAQ DTAQ0100 *YES Servidor de cola de datosQIBM_QLZP_LICENSE LICM0100 *YES Servidor de gestión de licencQIBM_QMF_MESSAGE MESS0100 *YES Servidor de mensajes originalQIBM_QNPS_ENTRY ENTR0100 *YES Servidor de impresión de redQIBM_QNPS_SPLF SPLF0100 *YES Servidor de impresión de redQIBM_QNS_CRADDACT ADDA0100 *YES Añadir actividad de descripciQIBM_QNS_CRCHGACT CHGA0100 *YES Cambiar actividad de descripc

Utilice el mismo método para evaluar estos programas de salida que el utilizadopara otros programas de salida y programas desencadenantes.

Comprobación de programas planificadosiSeries proporciona numerosos métodos para planificar trabajos para que seejecuten más tarde, incluyendo el planificador de trabajos. Normalmente estosmétodos no representan un riesgo para la seguridad porque el usuario queplanifica el trabajo debe tener la misma autorización que se necesita para someterel trabajo a proceso por lotes.

Sin embargo debe comprobar periódicamente los trabajos planificados. Un usuariodescontento que ya no esté en la organización puede utilizar este método paraplanificar un siniestro.

Restricción de las posibilidades de salvar y restaurarLa mayoría de los usuarios no necesitan salvar ni restaurar objetos en el sistema.Los mandatos de salvar proporcionan la posibilidad de copiar elementosimportantes de la organización a soportes de almacenamiento o a otro sistema. Lamayoría de los mandatos de salvar soportan archivos de salvar que puedenenviarse a otro sistema (utilizando el mandato de archivo SNDNETF) sin teneracceso a un soporte de almacenamiento o a un dispositivo de salvar/restaurar.

Los mandatos para restaurar proporcionan la oportunidad de restaurar objetos noautorizados, tales como programas mandatos y archivos en el sistema. Tambiénpuede restaurar información sin tener acceso a soportes de almacenamiento o a undispositivo de salvar/restaurar utilizando archivos de salvar. Los archivos desalvar se pueden enviar desde otro sistema utilizando el mandato SNDNETF outilizando la función FTP.

A continuación se proporcionan sugerencias para restringir las operaciones desalvar y restaurar en el sistema:v Controle qué usuarios tienen autorización especial *SAVSYS. La autorización

especial *SAVSYS permite al usuario salvar y restaurar objetos incluso cuando elusuario no tiene la autorización necesaria sobre los objetos.

v Controle el acceso físico para salvar y restaurar dispositivos.v Restrinja el acceso a los mandatos de salvar y restaurar. Cuando instale los

programas bajo licencia de OS/400, la autorización de uso público para losmandatos RSTxxx es *EXCLUDE. La autorización de uso público para los


|||||

|

mandatos SAVxxx es *USE. Considere la posibilidad de cambiar la autorizaciónde uso público de los mandatos SAVxxx por *EXCLUDE. Limite cuidadosamentelos usuarios que autoriza a utilizar los mandatos RSTxxx.

v Utilice el valor del sistema QALWOBJRST para restringir la restauración deprogramas de estado del sistema, programas que adoptan autorizaciones yobjetos que tienen errores de validación.

v Utilice el valor del sistema QVFYOBJRST para controlar la restauración deobjetos firmados en el sistema.

v Utilice la auditoría de seguridad para supervisar las operaciones de restauración.Incluya *SAVRST en el valor del sistema QAUDLVL e imprima periódicamenteregistros de auditoría creados por operaciones de restauración. (En el Capítulo 9y en el Apéndice F de la publicación iSeries Security Reference se proporcionainformación acerca de las operaciones de entradas de auditoría).

Comprobación de los objetos de usuario en bibliotecas protegidasTodos los trabajos de iSeries tienen una lista de bibliotecas. Esta lista determina lasecuencia en la que el sistema buscará un objeto si no se especifica un nombre debiblioteca con el nombre de objeto. Por ejemplo, cuando llama a un programa sinespecificar dónde está el programa, el sistema busca en la lista de bibliotecas pororden y ejecuta la primera copia del programa que localice.

En la publicación iSeries Security Reference se proporciona más información acercade los riesgos de seguridad de las listas de bibliotecas y de los programas dellamada sin nombre de biblioteca (denominado llamada no cualificada). Tambiénse proporcionan sugerencias para controlar el contenido de las listas de bibliotecasy la capacidad de cambiar las listas de bibliotecas del sistema.

Para que el sistema se ejecute correctamente, ciertas bibliotecas del sistema, comoQSYS y QGPL, deben estar en la lista de bibliotecas para cada trabajo. Debeutilizar la autorización sobre objeto para controlar quién puede añadir programas aestas bibliotecas. De este modo se facilita la tarea de impedir que alguien coloqueun programa impostor en una de estas bibliotecas con el mismo nombre que unprograma que figura después en una biblioteca de la lista de bibliotecas.

También debe evaluar quién tiene autorización sobre el mandato CHGSYSLIBL ysupervisar los registros SV del diario de auditoría de seguridad. Un usuariomalintencionado podría añadir una biblioteca delante de QSYS en la lista debibliotecas y hacer que otros usuarios ejecuten mandatos no autorizados con elmismo nombre que los mandatos proporcionados por IBM.


||


Puede utilizar el mandato Imprimir objetos de usuario (PRTUSROBJ) paraimprimir una lista de objetos de usuario (no creados por IBM) que están enuna biblioteca especificada. Después puede evaluar los programas de la listapara determinar quién los ha creado y qué funciones realizan.

Los objetos de usuario que no son programas también pueden representar unriesgo en la seguridad cuando se encuentran en bibliotecas del sistema. Porejemplo, si un programa graba datos confidenciales en un archivo cuyonombre no está calificado, es posible engañar al programa para que abra unaversión falsa de ese archivo en una biblioteca del sistema.

La Figura 31 muestra un ejemplo del informe:

Nota: Este informe contiene los objetos que los programas de salida de PTF creanen la biblioteca.

Objetos de usuario (informe completo)

Biblioteca Objeto Tipo Atributo Propietario DescripciónQSYS PRTCUSTL *PGM RPG JUANQSYS CHGLMT *PGM RPG JUANQSYS TESTINV *PGM CLP ROSA

Figura 31. Informe de Imprimir objetos de usuario-Ejemplo


Capítulo 11. Consejos para evitar y detectar intentos depirateo

Este capítulo es una recopilación de varios consejos que le ayudarán a detectarposibles riesgos para la seguridad y personas que cometen fechorías.

Consejos de seguridad físicaLa unidad del sistema es una pieza esencial de su organización y representa unavía de acceso potencial a su sistema. Algunos componentes del sistema son depequeño tamaño y muy valiosos. Debe colocar la unidad del sistema en un lugarvigilado para evitar la sustracción de componentes valiosos del sistema.

La unidad del sistema dispone de un panel de control que permite realizarfunciones básicas sin una estación de trabajo. Por ejemplo, puede utilizarlo pararealizar estas acciones:v Parar el sistema.v Arrancar el sistema.v Cargar el sistema operativo.v Arrancar las funciones de servicio.

Todas estas actividades pueden interrumpir el trabajo de los usuarios del sistema.También representan un riesgo de seguridad potencial para el sistema. Puedeutilizar la cerradura existente en el sistema para controlar cuándo se puedenrealizar estas actividades. Para impedir la utilización del panel de control, coloquela cerradura en la posición Protegido, quite la llave y guárdela en un lugar seguro.

Notas:

1. Si tiene que efectuar IPL remotas o diagnósticos remotos en el sistema, puedeque necesite elegir otra posición para la cerradura. El tema de Iniciación deliSeries Information Center proporciona más información sobre las posiciones dela cerradura (consulte “Requisitos e información relacionada” en la página xiipara conocer más detalles).

2. No todos los modelos de sistema incorporan una cerradura como característicaestándar.

Consejos para supervisar la actividad del perfil de usuarioLos perfiles de usuario proporcionan entrada al sistema. Los parámetros del perfilde usuario determinan el entorno y las características de seguridad de un usuario.Como administrador de seguridad, debe controlar y comprobar las modificacionesque se producen en los perfiles de usuario del sistema.

Puede establecer comprobaciones de seguridad para que el sistema grabe unregistro de las modificaciones en los perfiles de usuario. Puede utilizar el mandatoDSPAUDJRNE para imprimir un informe de estos cambios.

Puede crear programas de salida para evaluar las acciones solicitadas para losperfiles de usuario. La Tabla 16 en la página 122 muestra los puntos de salidadisponibles para los mandatos de perfil de usuario.


|||||

Nota: Hay salidas de perfil de usuario disponibles a partir de la V3R2.

Tabla 16. Puntos de salida para la actividad del perfil de usuarioMandato Perfil de usuario Nombre de punto de salida

Crear perfil de usuario (CRTUSRPRF) QIBM_QSY_CRT_PROFILECambiar perfil de usuario (CHGUSRPRF) QIBM_QSY_CHG_PROFILESuprimir perfil de usuario (DLTUSRPRF) QIBM_QSY_DLT_PROFILERestaurar perfil de usuario (RSTUSRPRF) QIBM_QSY_RST_PROFILE

El programa de salida, por ejemplo, puede buscar las modificaciones que pudiesenhacer que el usuario ejecutara una versión no autorizada de un programa. Estasmodificaciones podrían ser la asignación de una descripción de trabajo distinta ode una nueva biblioteca actual. Su programa de salida puede notificarlo a una colade mensajes, o realizar alguna acción (como cambiar o inhabilitar el perfil deusuario) basándose en la información que el programa de salida recibe.

La publicación iSeries Security Reference proporciona información acerca de losprogramas de salida para las acciones de perfil de usuario.

Consejos para la firma de objetosTodas las precauciones de seguridad que tome no servirán de nada si alguienpuede eludirlas introduciendo datos corruptos en el sistema. El iSeries tienediversas características incorporadas que puede utilizar para evitar que se carguesoftware corrupto en su sistema y para detectar si ya hay software de ese tipo. Unade las técnicas añadidas en la V5R1 es la firma de objetos.

La firma de objetos es la implementación en iSeries de un concepto criptográficoconocido como ″firmas digitales.″ La idea es relativamente sencilla: una vez unproductor de software está listo para enviar software a los clientes, el productor″firma″ el software. Esta firma no garantiza que el software realice ninguna funciónespecífica. Sin embargo, proporciona un método para probar que el softwareproviene del productor que lo ha firmado y que ese software no ha cambiadodesde que se generó y se firmó. Esto es de especial importancia si el software se hatransmitido por Internet o se ha almacenado en un soporte que pudiera haber sidomodificado.

Utilizar firmas digitales le dará un mayor control sobre qué software puedecargarse en su sistema y le otorgará más poder para detectar cambios una vezcargado. El nuevo valor del sistema Verificar restauración de objeto (QVFYOBJRST)proporciona un mecanismo para establecer una política restrictiva que requiere quetodo el software que se cargue en el sistema esté firmado por las fuentes desoftware conocidas. También puede elegir una política más abierta y simplementeverificar las firmas si las hay.

Todo el software de OS/400, así como el software para las opciones y losprogramas bajo licencia de iSeries, están firmados por IBM. Estas firmas ayudan alsistema a proteger su propia integridad y se comprueban cuando se aplicanarreglos al sistema para asegurarse de que el arreglo proviene de IBM y que no hacambiado por el camino. Estas firmas también pueden comprobarse una vez elsoftware esté en el sistema. El mandato CHKOBJITG (Comprobar integridad deobjeto) se ha ampliado para comprobar las firmas, además de otras característicasde integridad de los objetos en el sistema. Adicionalmente, el Gestor de certificadosdigitales tiene paneles que puede utilizar para comprobar las firmas de los objetos,incluidos los objetos del sistema operativo.


|

|||||

|||||||||

|||||||

||||||||||

Estando el sistema operativo firmado, podría igualmente utilizar firmas digitalespara proteger la integridad del software que sea vital para su empresa. Podríacomprar software que esté firmado por un proveedor de software, o bien podríafirmar el software que haya adquirido o escrito. Parte de su política de seguridadsería entonces utilizar CHKOBJITG periódicamente, o el Gestor de certificadosdigitales, para verificar que las firmas de ese software siguen siendo válidas, esdecir, que los objetos no han cambiado desde que se firmaron. Podría ser necesariotambién que todo el software que se restaure en el sistema esté firmado por ustedmismo o por una fuente conocida. Sin embargo, dado que la mayoría del softwarede iSeries IBM no ha producido no está firmado, podría resultar demasiadorestrictivo para el sistema. El nuevo soporte de firma digital le ofrece flexibilidadpara decidir el mejor método para proteger la integridad del software.

Las firmas digitales que protegen el software son tan solo uno de los usos de loscertificados digitales. Encontrará información adicional sobre la gestión decertificados digitales en el tema sobre gestión de certificados digitales delInformation Center (consulte “Requisitos e información relacionada” en lapágina xii para conocer más detalles).

Consejos para supervisar descripciones de subsistemaAl arrancar un subsistema en el iSeries, el sistema crea un entorno para que eltrabajo entre y se ejecute en el sistema. Una descripción de subsistema define elaspecto que tiene dicho entorno. Por tanto, las descripciones de subsistema puedenofrecer la oportunidad de entrar al sistema a usuarios con intenciones poco fiables.Estos podrían utilizar una descripción de subsistema para arrancarautomáticamente un programa o bien para iniciar una sesión sin un perfil deusuario.

Al ejecutar el mandato Revocar autorización de uso público (RVKPUBAUT), elsistema establece en *EXCLUDE la autorización de uso público para los mandatosde descripción de subsistemas. Con ello se previene que los usuarios que no tienenuna autorización específica (y que no tienen autorización especial *ALLOBJ)cambien o creen descripciones de subsistema.

En los temas siguientes se proporcionan sugerencias para revisar las descripcionesde subsistema que existen actualmente en el sistema. Puede utilizar el mandatoTrabajar con descripciones de subsistema (WRKSBSD) para crear una lista de todaslas descripciones de subsistema. Al seleccionar la opción 5 (Visualizar) de la lista,aparecerá un menú parecido al que se muestra en la Figura 32 para la descripciónde sistema seleccionada. Muestra una lista de los componentes de un entorno desubsistema.

Capítulo 11. Consejos para evitar y detectar intentos de pirateo 123

||||||||||||

|||||

Seleccione las opciones para ver detalles acerca de los componentes. Utilice elmandato Cambiar descripción de subsistema (CHGSBSD) para modificar las dosprimeras opciones del menú. Para modificar otros elementos, utilice el mandato deañadir, eliminar o modificar (según sea apropiado) para el tipo de entrada. Porejemplo, para modificar una entrada de estación de trabajo, utilice el mandatoCambiar entrada de estación de trabajo (CHGWSE).

La publicación proporciona más información acerca del trabajo con descripcionesde subsistema. También lista los valores iniciales para las descripciones desubsistema suministradas por IBM.

Consejos para las entradas de trabajo de arranque automáticoUna entrada de trabajo de arranque automático contiene el nombre de unadescripción de trabajo. La descripción de trabajo puede contener datos de solicitud(RQSDTA) que hacen que un programa o un mandato se ejecute. Por ejemplo,RQSDTA podría ser CALL LIB1/PROGRAM1. Siempre que se arranque el subsistema, elsistema ejecutará el programa PROGRAM1 en la biblioteca LIB1.

Consulte las entradas de trabajo de arranque automático y las descripciones detrabajo asociadas. Asegúrese de que entiende el funcionamiento de cualquierprograma que se ejecuta automáticamente cuando se arranca un subsistema.

Consejos para nombres y tipos de estaciones de trabajoCuando se arranca un subsistema, éste asigna todas las estaciones de trabajo noasignadas que figuran (específica o genéricamente) en sus entradas de nombres ytipos de estaciones de trabajo. Cuando un usuario inicia la sesión, se conecta alsubsistema que ha asignado la estación de trabajo.

La entrada de estación de trabajo indica qué descripción de trabajo se utilizarácuando se inicia un trabajo en dicha estación de trabajo. La descripción de trabajopuede contener los datos de solicitud que hacen que se ejecute un programa o unmandato. Por ejemplo, el parámetro RQSDTA podría ser CALL LIB1/PROGRAM1.Siempre que un usuario inicia la sesión en una estación de trabajo de estesubsistema, el sistema ejecutará PROGRAM1 en LIB1.

Visualizar descripción de subsistema

Descripción de subsistema: QINTER Biblioteca: QSYSEstado: ACTIVO


1. Atributos operativos2. Definiciones de agrupación3. Entradas de trabajo de arranque automático4. Entradas de nombre de estación de trabajo5. Entradas de tipo de estación de trabajo6. Entradas de cola de trabajos7. Entradas de direccionamiento8. Entradas de comunicaciones9. Entradas de nombre de ubicación remota10. Entradas de trabajo de prearranque

Figura 32. Pantalla Visualizar descripción de subsistema


Consulte las entradas de estación de trabajo y las descripciones de trabajoasociadas. Asegúrese de que nadie ha añadido o actualizado ninguna entrada paraejecutar programas de los que no se tiene conocimiento.

Una entrada de estación de trabajo también podría especificar un perfil de usuariopor omisión. Para ciertas configuraciones de subsistema, ello permite que alguieninicie la sesión simplemente pulsando la tecla Intro. Si el nivel de seguridad (valorde sistema QSECURITY) del sistema es inferior a 40, debe revisar las entradas deestación de trabajo para los usuarios por omisión.

Consejos para entradas de cola de trabajosCuando se arranca un subsistema, éste asigna las colas de trabajos no asignadasque están listadas en la descripción de subsistema. Las entradas de cola de trabajosno constituyen un riesgo directo para la seguridad. Sin embargo, sí proporcionanuna oportunidad para que alguien manipule el rendimiento del sistema haciendoque los trabajos se ejecuten en entornos no previstos.

Debe revisar periódicamente las entradas de cola de trabajos en las descripcionesde subsistema para asegurarse de que los trabajos por lotes se ejecutan dondedeben ejecutarse.

Consejos para entradas de direccionamientoUna entrada de direccionamiento define lo que hace un trabajo cuando entra en elsubsistema. Este utiliza entradas de direccionamiento para todos los tipos detrabajos: por lotes, interactivos y de comunicaciones. Una entrada dedireccionamiento especifica lo siguiente:v La clase de trabajo. Al igual que las entradas de cola de trabajos, la clase que

está asociada a un trabajo puede afectar a su rendimiento pero no representa unriesgo para la seguridad.

v El programa que se ejecuta cuando se inicia el trabajo. Consulte las entradas dedireccionamiento y asegúrese de que nadie ha añadido o actualizado ningunaentrada para ejecutar programas de los que no se tiene conocimiento.

Consejos para entradas de comunicaciones y nombres de ubicaciónremota

Cuando un trabajo de comunicaciones entra en el sistema, éste utiliza las entradasde comunicaciones y las entradas de nombre de ubicación remota del subsistemaactivo para determinar cómo se ejecutará el trabajo de comunicaciones. Tenga encuenta lo siguiente respecto a estas entradas:v Todos los subsistemas son capaces de ejecutar trabajos de comunicaciones. Si un

subsistema que está destinado para comunicaciones no está activo, un trabajoque esté intentando entrar en el sistema podría encontrar una entrada en otradescripción de subsistema que satisfaga sus necesidades. Debe examinar lasentradas en todas las descripciones de subsistema.

v Una entrada de comunicaciones contiene una descripción de trabajo. Ladescripción de trabajo puede contener datos de solicitud que ejecutan unmandato o programa. Consulte las entradas de comunicaciones y lasdescripciones de trabajo asociadas para asegurarse de que entiende cómo seinician los trabajos.

v Una entrada de comunicaciones también especifica un perfil de usuario poromisión que el sistema utiliza en algunas situaciones. Asegúrese de que entiende


la función de los perfiles por omisión. Si el sistema contiene perfiles poromisión, debe asegurarse de que tienen una autorización mínima. Consulte elCapítulo 13. Consejos para la seguridad de las comunicaciones APPC paraobtener más información acerca de los perfiles de usuario por omisión.Puede utilizar el mandato Imprimir descripción de subsistema (PRTSBSDAUT)para identificar las entradas de comunicaciones que especifican un nombre deperfil de usuario.

Consejos para entradas de trabajo de prearranquePuede utilizar las entradas de trabajo de prearranque para preparar un subsistemapara ciertos tipos de trabajos con el fin de que los trabajos se inicien más deprisa.Los trabajos de prearranque pueden iniciarse cuando se arranca el subsistema ocuando sean necesarios. Una entrada de trabajo de prearranque especifica losiguiente:

Un programa para ejecutarUn perfil de usuario por omisiónUna descripción de trabajo

Todos ellos tienen riesgos potenciales para la seguridad. Debe asegurarse de quelas entradas de trabajo de prearranque sólo realizan funciones autorizadas yprevistas.

Consejos para trabajos y descripciones de trabajoLas descripciones de trabajo contienen datos de solicitud y datos dedireccionamiento que pueden hacer que se ejecute un programa específico alutilizar dicha descripción de trabajo. Cuando la descripción de trabajo especificaun programa en el parámetro de datos de solicitud, el subsistema ejecuta elprograma. Cuando la descripción de trabajo especifica datos de direccionamiento,el sistema ejecuta el programa especificado en la entrada de direccionamiento quecoincide con los datos de direccionamiento.

El sistema utiliza descripciones de trabajo tanto para los trabajos interactivos comopara los trabajos por lotes. Para los trabajos interactivos, la entrada de estación detrabajo especifica la descripción de trabajo. Normalmente, el valor de entrada deestación de trabajo es *USRPRF, de modo que el sistema utiliza la descripción detrabajo especificada en el perfil de usuario. Para los trabajos por lotes, el usuarioespecifica la descripción de trabajo al someter el trabajo.

Debe revisar periódicamente las descripciones de trabajo para asegurarse de queéstas no ejecutan programas no previstos. También debe utilizar la autorizaciónsobre objeto para evitar modificaciones en las descripciones de trabajo. Laautorización *USE es suficiente para ejecutar un trabajo con una descripción detrabajo. Un usuario típico no necesita autorización *CHANGE para lasdescripciones de trabajo.



Las descripciones de trabajo también pueden especificar bajo qué perfil deusuario se debe ejecutar el trabajo. Con el nivel de seguridad 40 y superior,debe tener autorización *USE para la descripción de trabajo y para el perfil deusuario especificados en la descripción de trabajo. Con los niveles deseguridad inferiores a 40, sólo se necesita autorización *USE para ladescripción de trabajo.

Puede utilizar el mandato Imprimir autorización de descripción de trabajo(PRTJOBDAUT) para imprimir una lista de descripciones de trabajos queespecifican perfiles de usuario y cuya autorización de uso público es *USE. LaFigura 33 muestra un ejemplo del informe:

El informe muestra las autorizaciones especiales del perfil de usuario especificadoen la descripción de trabajo. El informe incluye las autorizaciones especiales decualquier perfil de grupo que el perfil de usuario tenga. Puede utilizar el siguientemandato para visualizar las autorizaciones privadas del perfil de usuario ’:DSPUSRPRF USRPRF(nombre perfil) TYPE(*OBJAUT)

La descripción de trabajo especifica la lista de bibliotecas que utiliza el trabajocuando se ejecuta. Si alguien puede modificar una lista de bibliotecas de unusuario, dicho usuario podría ejecutar una versión no prevista de un programa enuna biblioteca diferente. Debe revisar periódicamente las listas de bibliotecasespecificadas en las descripciones de trabajo del sistema.

Finalmente, debe asegurarse de que los valores por omisión para el mandatoSometer trabajo (SBMJOB) y el mandato Crear perfil de usuario (CRTUSRPRF) nose han modificado para que apunten a descripciones de trabajo no previstas.

Consejos para los Nombres de programas de transacciones conarquitectura

Algunas peticiones de comunicaciones envían un tipo específico de señal alsistema. Esta petición se llama nombre de programa de transacciones conarquitectura (TPN) ya que el nombre del programa de transacciones forma partede la arquitectura APPC del sistema. Una petición de paso a través de estación depantalla es un ejemplo de un TPN con arquitectura. Los TPN con arquitectura sonun procedimiento normal para que funcionen las comunicaciones y no

Descripciones de trabajo con autorización excesiva (informe completo)

SYSTEM4Biblioteca especificada. . . : QGPL

--------------------Autorizaciones especiales-------------Descripción Perfil *ALL *AUD *IOSYS *JOB *SAV *SEC *SER *SPL

Biblioteca trabajo Propietario usuario OBJ IT CFG CTL SYS ADM VICE CTLQGPL JOBD1 QSECOFR USERAQGPL JOBD2 QSECOFR USERB X X X X X X X X

Figura 33. Informe Descripciones de trabajo con autorización excesiva-Ejemplo


necesariamente representan un riesgo para la seguridad. Sin embargo, los TPN conarquitectura pueden proporcionar una entrada inesperada al sistema.

Algunos TPN no pasan ningún perfil en la petición. Si la petición llega a asociarsecon una entrada de comunicaciones cuyo usuario por omisión es *SYS, la peticiónpuede iniciarse en el sistema. Sin embargo, el perfil *SYS sólo puede ejecutarfunciones del sistema y no aplicaciones de usuario.

Si no desea que los TPN con arquitectura se ejecuten con un perfil por omisión,puede modificar el usuario por omisión de *SYS a *NONE en las entradas decomunicaciones. En la “Peticiones de TPN con arquitectura” se indican los TPNcon arquitectura y los perfiles de usuario asociados.

Si no desea que un TPN específico se ejecute en el sistema, realice las siguientesacciones:1. Cree un programa CL que acepte varios parámetros. El programa no debe

realizar ninguna función. Simplemente debe tener las sentencias Declarar (DCL)para los parámetros y después finalizar.

2. Añada una entrada de direccionamiento para el TPN a cada subsistema quetenga entradas de comunicaciones o entradas de nombre de ubicación remota.La entrada de direccionamiento debe especificar lo siguiente:v Un valor Comparar valor (CMPVAL) igual al nombre del programa del TPN

(consulte Peticiones de TPN con arquitectura) con una posición inicial de 37.v Un valor Programa a llamar (PGM) igual al nombre del programa creado en el

paso 1. Ello impide que el TPN ubique otra entrada de direccionamiento,como por ejemplo *ANY.

Varios TPN ya tienen su propia entrada de direccionamiento en el subsistemaQCMN. Se han añadido por motivos de rendimiento.

Peticiones de TPN con arquitecturaTabla 17. Programas y usuarios para peticiones de TPN

Petición de TPN Programa Perfil de usuario Descripción

X'30F0F8F1' AMQCRC6A *NONE Cola de mensajes

X'06F3F0F1' QACSOTP QUSER Programa de transacciones de inicio de sesiónAPPC

X'30F0F2D1' QANRTP QADSM Configuración ADSM/400 APPC

X'30F0F1F9' QCNPCSUP *NONE Carpetas compartidas

X'07F0F0F1' QCNTEDDM QUSER DDM

X'07F6C4C2' QCNTEDDM QUSER SQL–DRDA1 remoto

X'30F0F7F7' QCQNRBAS QSVCCS Servidor CC_ de SNA

X'30F0F1F4' QDXPRCV QUSER Receptor de DSNX–PC

X'30F0F1F3' QDXPSEND QUSER Emisor de DSNX–PC

X'30F0F2C4' QEVYMAIN QUSER Servidor ENVY**/400

X'30F0F6F0' QHQTRGT *NONE Cola de datos en PC

X'30F0F8F0' QLZPSERV *NONE Gestor de licencias Client Access

X'30F0F1F7' QMFRCVR *NONE Receptor de mensajes en PC

X'30F0F1F8' QMFSNDR *NONE Emisor de mensajes en PC


Tabla 17. Programas y usuarios para peticiones de TPN (continuación)

Petición de TPN Programa Perfil de usuario Descripción

X'30F0F6F6' QND5MAIN QUSER Controlador de estación de trabajo APPN 5394

DB2DRDA QCNTEDDDM QUSER DB2DRDA

APINGD QNMAPINGD QUSER APINGD

X'30F0F5F4' QNMEVK QUSER Programas de utilidad de gestión del sistema

X'30F0F2C1' QNPSERVR *NONE Servidor de impresión de red PWS-I

X'30F0F7F9' QOCEVOKE *NONE Calendario de sistemas cruzados

X'30F0F6F1' QOKCSUP QDOC Duplicación de directorio

X'20F0F0F7' QOQSESRV QUSER DIA Versión 2



X'20F0F0F0' QOSAPPC QUSER DIA Versión 1

X'30F0F0F5' QPAPAST2 QUSER Paso a través de S/36—S/38

X'30F0F0F9' QPAPAST2 QUSER Paso a través de impresora

X'30F0F4F6' QPWFSTP0 *NONE Carpetas compartidas Tipo 2

X'30F0F2C8' QPWFSTP1 *NONE Servidor de archivos de Client Access

X'30F0F2C9' QPWFSTP2 *NONE Servidor de archivos de Windows** ClientAccess

X'30F0F6F9' QRQSRVX *NONE SQL remoto – servidor convergente

X'30F0F6F5' QRQSRV0 *NONE SQL remoto sin compromiso

X'30F0F6F4' QRQSRV1 *NONE SQL remoto sin compromiso

X'30F0F2D2' QSVRCI QUSER SOC/CT

X'21F0F0F8' QS2RCVR QGATE Receptor SNADS FS2

X'21F0F0F7' QS2STSND QGATE Emisor SNADS FS2

X'30F0F1F6' QTFDWNLD *NONE Función de transferencia de PC

X'30F0F2F4' QTIHNPCS QUSER Función TIE

X'30F0F1F5' QVPPRINT *NONE Impresión virtual en PC

X'30F0F2D3' QWGMTP QWGM Ultimedia Mail/400 Server

X'30F0F8F3' QZDAINIT QUSER Servidor de acceso a datos PWS-I

X'21F0F0F2' QZDRCVR QSNADS Receptor SNADS

X'21F0F0F1' QZDSTSND QSNADS Emisor SNADS

X'30F0F2C5' QZHQTRG *NONE Servidor de cola de datos PWS-I

X'30F0F2C6' QZRCSRVR *NONE Servidor de mandatos remotos PWS-I

X'30F0F2C7' QZSCSRVR *NONE Servidor central PWS-I

Métodos para supervisar eventos de seguridadLa puesta a punto de la seguridad no es un esfuerzo que se haga de una sola vez.Es necesario evaluar constantemente los cambios en el sistema y las anomalías enla seguridad. Después hay que realizar ajustes en el entorno de seguridad querespondan a lo que se ha descubierto.


Los informes de seguridad le ayudan a supervisar los cambios relativos a laseguridad que se producen en el sistema. A continuación se indican otras funcionesdel sistema que puede utilizar para ayudarle a detectar anomalías o riesgos para laseguridad:v La auditoría de seguridad es una herramienta potente que puede utilizar para

observar diferentes tipos de eventos relativos a la seguridad que se producen enel sistema. Por ejemplo, puede poner a punto el sistema para que grabe unregistro de auditoría cada vez que un usuario abra un archivo de base de datospara actualizarlo. Puede hacer una auditoría de todos los cambios efectuados enlos valores del sistema. Puede hacer una auditoría de las acciones que ocurrencuando los usuarios restauran objetos.En el Capítulo 9 de la publicación iSeries Security Reference se proporcionainformación completa acerca de la función de auditoría de seguridad. Puedeutilizar el mandato Cambiar auditoría de seguridad (CHGSECAUD) para ponera punto la auditoría de seguridad en el sistema. También puede utilizar elmandato Visualizar entradas de diario de auditoría (DSPAUDJRNE) paraimprimir información seleccionada del diario de auditoría de seguridad.

v Puede crear la cola de mensajes QSYSMSG para capturar mensajes críticos deloperador del sistema. La cola de mensajes QSYSOPR recibe muchos mensajes dediversa importancia durante un día normal de trabajo. Los mensajes críticosrelativos a la seguridad pueden pasarse por alto debido al gran volumen demensajes que hay en la cola de mensajes QSYSOPR.Si se crea una cola de mensajes QSYSMSG en la biblioteca QSYS del sistema,este dirige automáticamente ciertos mensajes críticos a la cola de mensajesQSYSMSG en lugar de a la cola de mensajes QSYSOPR.Puede crear un programa para supervisar la cola de mensajes QSYSMSG o bienpuede asignarla en la modalidad de interrupción para usted mismo o para otrousuario de confianza.


Parte 4. Consejos para las aplicaciones y las comunicacionesde red

RV3M1202-0


Capítulo 12. Utilización del Sistema de Archivos Integrado(IFS) para proteger los archivos

El sistema de archivos integrado proporciona múltiples formas de almacenar y verinformación en el iSeries. Este sistema de archivos integrado forma parte delsistema operativo de OS/400 que ofrece soporte para operaciones de entrada ysalida continuas. Proporciona métodos de gestión de almacenamiento similares a (ycompatibles con) los sistemas operativos de PC y UNIX.

Antes de la V3R1, el iSeries almacenaba y presentaba los objetos desde susbibliotecas respectivas (o carpetas para objetos de biblioteca de documentos).Con elsistema de archivos integrado, todos los objetos del sistema se pueden ver almismo tiempo desde la perspectiva de una estructura de directorios jerárquica. Sinembargo, en muchos casos, los usuarios ven los objetos del modo más común paraun sistema de archivos determinado. Por ejemplo, los objetos de iSeries″tradicionales″ se encuentran en el sistema de archivos QSYS.LIB. Por lo general,los usuarios ven los objetos desde la perspectiva de bibliotecas. Los usuariosvisualizan los objetos del sistema de archivos QDLS desde la perspectiva dedocumentos dentro de carpetas. Los sistemas de archivos raíz (/), QOpenSys y losdefinidos por el usuario presentan una estructura de directorios jerárquicos(anidados).

Como administrador de seguridad debe conocer lo siguiente:v Qué sistemas de archivos se utilizan en el sistemav Las características de seguridad exclusivas de cada sistema de archivos

En los temas siguientes se proporcionan algunas consideraciones generales acercade la seguridad del sistema de archivos integrado.

El método de seguridad del Sistema de Archivos Integrado (IFS)El sistema de archivos raíz es la base (o el fundamento) para todos los demássistemas de archivos del iSeries. En un nivel superior, proporciona una vistaintegrada de todos los objetos del sistema. Otros sistemas de archivos del iSeriesproporcionan distintas propuestas para la integración y la gestión de objetos,dependiendo de la finalidad básica de cada sistema de archivos.El sistema dearchivos QOPT (óptico), por ejemplo, permite que las aplicaciones y los servidoresde iSeries (incluido el servidor de archivos de Client Access) accedan a la unidadde CD-ROM del iSeries. Del mismo modo, el sistema de archivos QFileSvr.400permite que las aplicaciones accedan a los datos del sistema de archivos integradode sistemas iSeries 400 remotos. El servidor de archivos QLANSrv permite accedera los archivos almacenados en el Integrated xSeries Server for iSeries o en otrosservidores conectados de la red.

La propuesta para la seguridad de cada sistema de archivos depende de los datosque cada sistema de archivos permite que estén disponibles. El sistema de archivosQOPT, por ejemplo, no proporciona seguridad de nivel de objeto, puesto que noexiste tecnología para escribir información de autorización en un CD-ROM. Para elsistema de archivos QFileSvr.400, el control de acceso se lleva a cabo en el sistemaremoto (donde se gestionan y están almacenados los archivos físicamente). Para lossistemas de archivos como, por ejemplo, QLANSrv, el Integrated xSeries Server foriSeries proporciona control de acceso. A pesar de los distintos modelos de


seguridad, muchos sistemas de archivos soportan la gestión coherente del controlde acceso a través de los mandatos del sistema de archivos integrado, tales comoCambiar autorización (CHGAUT) y Cambiar propietario (CHGOWN).

Estos son algunos consejos relacionados con todos los aspectos de la seguridad delsistema de archivos integrado. El sistema de archivos integrado está diseñado paraseguir los estándares de POSIX con la mayor precisión posible. Esto conduce a uncomportamiento interesante, en el que la autorización de iSeries 400 y los permisosde POSIX se ″mezclan″:1. No elimine la autorización privada de un usuario sobre un directorio

propiedad de ese usuario, incluso si el usuario está autorizado mediante laautorización de uso público, un grupo o una lista de autorizaciones. Al trabajarcon bibliotecas o carpetas en el modelo de seguridad de iSeries estándar,eliminar la autorización privada del propietario reduciría la cantidad deinformación sobre autorizaciones almacenada para un perfil de usuario y noafectaría a otras operaciones. De todas maneras, debido a la forma en que elestándar POSIX define la herencia de permisos para directorios, el propietariode un directorio recién creado tendrá las mismas autorizaciones sobre objetospara ese directorio que el propietario del padre tiene sobre el padre, incluso siel propietario del directorio recién creado tiene otras autorizaciones privadassobre el padre. Para comprenderlo mejor, he aquí un ejemplo: USERA posee eldirectorio /DIRA, pero se han eliminado las autorizaciones privadas deUSERA. USERB tiene autorización privada sobre /DIRA. USERB crea eldirectorio /DIRA/DIRB. Dado que USERA no tiene autorizaciones sobre objetoen /DIRA, USERB no tendrá autorizaciones sobre objeto en /DIRA/DIRB.USERB no podrá redenominar ni suprimir /DIRA/DIRB sin tener que llevar acabo acciones para cambiar las autorizaciones sobre objeto de USERB. Estotambién entra en juego al crear archivos con la API open() utilizando eldistintivo O_INHERITMODE. Si USERB ha creado un archivo /DIRA/FILEB,USERB no tendrá autorizaciones sobre objeto NI autorizaciones de datos sobreél. USERB no podrá grabar en el nuevo archivo.

2. La autorización adoptada no se acepta en la mayoría de sistemas de archivosfísicos. Eso incluye los sistemas de archivos raíz (/), QOpenSys, QDLS y losdefinidos por el usuario.

3. Los objetos existentes son propiedad del perfil de usuario que los haya creado,incluso si el campo OWNER del perfil de usuario está establecido como*GRPPRF.

4. Muchas operaciones del sistema de archivos requieren autorización de datos*RX para cada componente de la vía de acceso, incluido el directorio raíz (/).Al experimentar problemas con las autorizaciones, asegúrese de comprobar laautorización del usuario sobre el propio directorio raíz.

5. Visualizar o recuperar el directorio de trabajo actual (DSPCURDIR, getcwd(),etc.) requiere autorización de datos *RX para cada componente de la vía deacceso. No obstante, modificar el directorio de trabajo actual (CD, chdir(), etc.)solamente requiere autorización de datos *X para cada componente. Porconsiguiente, un usuario puede cambiar el directorio de trabajo actual a una víade acceso determinada y luego no poder visualizar esa vía de acceso.

6. La finalidad del mandato COPY es duplicar un objeto. Los valores deautorización en el nuevo archivo serán los mismos que en el original, excepto elpropietario. La finalidad del mandato CPYTOSTMF, no obstante, essimplemente duplicar datos. El usuario no puede controlar los valores deautorización en el nuevo archivo. El creador/propietario tendrá autorización dedatos *RWX, pero las autorizaciones de uso público y de grupo serán


*EXCLUDE. El usuario debe utilizar otros medios (CHGAUT, chmod(), etc.)para asignar las autorizaciones deseadas.

7. Un usuario debe ser el propietario o tener autorización sobre objeto *OBJMGTpara recuperar información de autorización sobre un objeto. Esto puedeaparecer en lugares inesperados, como COPY, que debe recuperar lainformación de autorización del objeto origen para establecer las autorizacionesequivalentes en el objeto destino.

8. Al cambiar el propietario o el grupo de un objeto, el usuario no debe tenersolamente la autorización adecuada sobre el objeto, sino que también debetener la autorización de datos *ADD sobre el nuevo perfil de usuario depropietario/grupo y la autorización de datos *DELETE sobre el antiguo perfilde propietario/grupo. Estas autorizaciones de datos no están relacionadas conlas autorizaciones de datos del sistema de archivos. Estas autorizaciones dedatos pueden visualizarse utilizando el mandato DSPOBJAUT y modificarseutilizando el mandato EDTOBJAUT. Esto también puede aparecerinesperadamente en COPY cuando intenta definir el ID de grupo para unobjeto nuevo.

9. El mandato MOV tiene tendencia a sufrir errores de autorización extraños,especialmente al trasladar de un sistema de archivos físico a otro o al realizarconversión de datos. En estos casos, el traslado se convierte realmente en unaoperación de copiar y suprimir. Por consiguiente, el mandato MOV puederesultar afectado por las mismas consideraciones sobre autorizaciones que elmandato COPY (vea los puntos 7 y 8) y el mandato RMVLNK, aparte de otrasconsideraciones específicas de MOV.

Los apartados siguientes ofrecen consideraciones sobre diversos sistemas dearchivos representativos. Para obtener más información acerca de un sistema dearchivos específico de su iSeries, debe consultar la documentación correspondienteal programa bajo licencia que utiliza el sistema de archivos.

Consejos de seguridad para los sistemas de archivos raíz (/),QOpenSys y los definidos por el usuario

A continuación se presentan algunas consideraciones sobre la seguridad para lossistemas de archivos raíz, QOpenSys y los definidos por el usuario.

Cómo funciona la autorización para los sistemas de archivosraíz (/), QOpenSys y los definidos por el usuario

Los sistemas de archivos raíz, QOpenSys y los definidos por el usuarioproporcionan una combinación de las posibilidades del iSeries, PC y UNIX** tantopara la gestión de objetos como para la seguridad. Al utilizar los mandatos delsistema de archivos integrado de una sesión iSeries (WRKAUT y CHGAUT), puedeestablecer todas las autorizaciones de objeto iSeries normales. Esto incluye lasautorizaciones *R, *W y *X que son compatibles con Spec 1170 (sistemas operativosde tipo UNIX).

Nota: Los sistemas de archivos raíz, QOpenSys y los definidos por el usuario sonequivalentes en sus funciones. El sistema de archivos QOpenSys es sensiblea las mayúsculas y el sistema de archivos raíz no. Los sistemas de archivosdefinidos por el usuario pueden definirse como sensibles a las mayúsculas yminúsculas. Dado que estos sistemas de archivos tienen las mismascaracterísticas de seguridad, en los temas siguientes se puede dar porsupuesto que sus nombres se utilizan indistintamente.

Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) para proteger los archivos 135

Al acceder al sistema de archivos raíz como administrador desde una sesión dePC, puede establecer los atributos de objetos que utiliza el PC para restringirdeterminados tipos de acceso:v Sistemav Ocultarv Archivarv Sólo lectura

Estos atributos del PC se añaden y no sustituyen a los valores de autorizaciónsobre objeto de iSeries.

Cuando un usuario intenta acceder a un objeto del sistema de archivos raíz, elOS/400 aplica todos los atributos y valores de autorización para el objeto, tanto sidichas autorizaciones son ″visibles″ desde la interfaz del usuario como si no. Porejemplo, suponga que el atributo de sólo lectura para un objeto está activado. Unusuario de PC no puede suprimir el objeto a través de una interfaz de ClientAccess. Un usuario de iSeries con una estación de trabajo de función fija tampocopuede suprimir el objeto incluso aunque el usuario de iSeries tenga autorizaciónespecial *ALLOBJ. Para eliminar el objeto, un usuario autorizado debe utilizar unafunción de PC para restablecer el valor de sólo lectura en desactivado. Del mismomodo, un usuario de PC puede no tener la autorización de OS/400 suficiente paracambiar los atributos de seguridad relacionados con el PC de un objeto.

Las aplicaciones de tipo UNIX que se ejecutan en el iSeries utilizan interfaces deprogramación de aplicaciones (API) de tipo UNIX para acceder a los datos delsistema de archivos raíz. Con API de tipo UNIX, las aplicaciones pueden reconocery mantener la información de seguridad siguiente:v Propietario de objetov Propietario de grupo (autorización de grupo primario de iSeries)v Lectura (archivos)v Escritura (modificar el contenido)v Ejecución (ejecutar programas o buscar directorios)

El sistema correlaciona estas autorizaciones de datos con las autorizaciones dedatos y objetos existentes del iSeries:v Lectura (*R) = *OBJOPR y *READv Escritura (*W) = *OBJOPR, *ADD, *UPD, *DLTv Ejecución (*X) = *OBJOPR y *EXECUTE

Los conceptos de otras autorizaciones sobre objeto (*OBJMGT, *OBJEXIST,*OBJALTER y *OBJREF) no existen en un entorno de tipo UNIX.

Sin embargo, estas autorizaciones sobre objeto existen para todos los objetos delsistema de archivos raíz. Al crear un objeto utilizando una API de tipo UNIX, eseobjeto hereda estas autorizaciones del directorio padre, dando como resultado losiguiente:v El propietario del objeto nuevo tiene la misma autorización sobre objeto que el

propietario del directorio padre.v El grupo primario del objeto nuevo tiene la misma autorización sobre objeto que

el grupo primario del directorio padre.v El público del objeto nuevo tiene la misma autorización sobre objeto que el

público del directorio padre.

La autorización sobre datos del objeto nuevo para propietario, grupo primario ypúblico se especifica en la API con el parámetro de modalidad. Cuando todas lasautorizaciones sobre objeto están establecidas como ’activadas’, obtendrá el mismo


comportamiento por parte de las autorizaciones que el que esperaría en un entornode tipo UNIX. Es mejor dejarlas ’activadas’, a menos que no desee uncomportamiento como el de POSIX.

Al ejecutar aplicaciones que utilizan API de tipo UNIX, el sistema fuerza todas lasautorizaciones sobre objeto, tanto si son ″visibles″ a las aplicaciones UNIX como sino. Por ejemplo, el sistema fuerza la autorización de listas de autorizaciones,aunque en los sistemas operativos de tipo UNIX no exista el concepto de listas deautorizaciones.

Si dispone de un entorno de aplicaciones mixtas, debe asegurarse de que no realizacambios de autorizaciones en un entorno que pueda interrumpir sus aplicacionesen otro entorno.

Trabajar con la seguridad para los sistemas de archivos raíz (/),QOpenSys y los definidos por el usuarioAl introducir el sistema de archivos integrado, el iSeries también proporciona unnuevo conjunto de mandatos para trabajar con objetos en sistemas de archivosmúltiples.En este conjunto se incluyen mandatos para trabajar con la seguridad:v Cambiar auditoría (CHGAUD)v Cambiar autorización (CHGAUT)v Cambiar propietario (CHGOWN)v Cambiar grupo primario (CHGPGP)v Visualizar autorización (DSPAUT)v Trabajar con autorización (WRKAUT)

Estos mandatos agrupan las autorizaciones básicas sobre objeto y sobre datos ensubconjuntos de autorizaciones de tipo UNIX.*RWX Leer/grabar/ejecutar*RW Leer/grabar*R Leer*WX Grabar/ejecutar*W Grabar*X Ejecutar

Además, hay interfaces API de tipo UNIX disponibles para trabajar con laseguridad.

Autorización de uso público para el directorio raízAl entregar el sistema, la autorización de uso público para el directorio raíz es*ALL (todas las autorizaciones sobre objeto y sobre datos). Este valor proporcionala flexibilidad y la compatibilidad necesarias para ajustarse a las necesidades de lasaplicaciones de tipo UNIX y a lo que esperan los usuarios de iSeries. Un usuariode iSeries con la posibilidad de línea de mandatos puede crear una nuevabiblioteca en el sistema de archivos QSYS.LIB simplemente utilizando el mandatoCRTLIB. Por lo general, la autorización en un sistema iSeries lo permite. Delmismo modo, con el valor recibido originalmente para el sistema de archivos raíz,un usuario puede crear un nuevo directorio raíz (del mismo modo que se crea unnuevo directorio en el PC).

Como administrador de seguridad, debe educar a sus usuarios acerca de cómodeben proteger adecuadamente los objetos que crean. Cuando un usuario crea unabiblioteca, probablemente la autorización de uso público para la biblioteca no debaser *CHANGE (el valor por omisión). El usuario debe establecer la autorización deuso público para *USE o para *EXCLUDE, dependiendo del contenido de labiblioteca.


Si los usuarios necesitan crear directorios nuevos en los sistemas de archivos raíz(/), QOpenSys o los definidos por el usuario, existen diversas opciones deseguridad:v Puede enseñar a sus usuarios a que alteren temporalmente la autorización por

omisión al crear nuevos directorios. El valor por omisión es la herencia de laautorización del directorio padre inmediato. En el caso de un directorio que seacaba de crear en el directorio raíz, la autorización de uso público por omisiónserá *ALL.

v Puede crear un subdirectorio ″maestro″ bajo el directorio raíz. Establezca laautorización de uso público del directorio maestro en un valor adecuado para suorganización y, a continuación, solicite a sus usuarios que creen todos susdirectorios personales nuevos en este subdirectorio maestro. Sus nuevosdirectorios heredarán la autorización.

v Puede cambiar la autorización de uso público para el directorio raíz con el fin deevitar que los usuarios creen objetos en dicho directorio. (Elimine lasautorizaciones *W, *OBJEXIST, *OBJALTER, *OBJREF y *OBJMGT.) No obstante,debe evaluar si este cambio puede causar problemas en cualquiera de susaplicaciones. Por ejemplo, puede tener aplicaciones de tipo UNIX que puedansuprimir objetos del directorio raíz.

Mandato Imprimir objetos con autorización privada (PRTPVTAUT)Puede utilizar el mandato Imprimir autorización privada (PRTPVTAUT) paraimprimir un informe de todas las autorizaciones privadas correspondientes a losobjetos de un tipo determinado de una biblioteca, carpeta o directorioespecificados. El informe lista todos los objetos del tipo especificado y los usuariosautorizados de dichos objetos. Constituye una forma de comprobar las distintasfuentes de las autorizaciones de los objetos.

Este mandato imprime tres informes de los objetos seleccionados. El primerinforme (Informe completo) contiene todas las autorizaciones privadas de todos losobjetos seleccionados. El segundo informe (Informe de cambios) contiene adicionesy cambios en las autorizaciones privadas de los objetos seleccionados, sipreviamente se ha ejecutado el mandato PRTPVTAUT en los objetos especificadosde la biblioteca, carpeta o directorio especificados. Todo objeto nuevo, nuevasautorizaciones en objetos existentes o cambios en las autorizaciones existentes delos objetos existentes se listarán en el ’Informe de cambios’. Si previamente no seha ejecutado el mandato PRTPVTAUT para los objetos especificados en labiblioteca, carpeta o directorio especificados, no se creará ningún ’Informe decambios’. Si previamente se ha ejecutado el mandato, pero no se han efectuadocambios en las autorizaciones de los objetos, se imprimirá el ’Informe de cambios’,aunque no listará ningún objeto.

El tercer informe (Informe de supresiones) contiene todas las supresiones de losusuarios con autorizaciones privadas de los objetos especificados, desde que seejecutó por última vez el mandato PRTPTVAUT. Todos los objetos suprimidos, otodos los usuarios que se hayan eliminado como usuarios con autorizacionesprivadas, se listarán en el ’Informe de eliminaciones’. Si previamente no se haejecutado el mandato PRTPTVAUT, no se creará ningún ’Informe de eliminaciones’.Si previamente se ha ejecutado el mandato, pero no se han efectuado operacionesde supresión en los objetos, se imprimirá el ’Informe de supresiones’, aunque nolistará ningún objeto.

Restricción: Deberá tener la autorización especial *ALLOBJ para utilizar estemandato.


Ejemplos:

Este mandato crea los informes completo, de cambios y de supresiones para todoslos objetos de archivo de PAYROLLLIB:PRTPVTAUT OBJTYPE(*FILE) LIB(PAYROLLLIB)

Este mandato crea los informes completo, de cambios y de supresiones para todoslos objetos de archivo continuo del directorio garry:PRTPVTAUT OBJTYPE(*STMF) DIR(/GARRY) SCHSUBDIR(*NO)

Este mandato crea los informes completo, de cambios y de supresiones para todoslos objetos de archivo continuo de la estructura de subdirectorios que empieza enel directorio garry:PRTPVTAUT OBJTYPE(*STMF) DIR(/GARRY) SCHSUBDIR(*YES)

Mandato Imprimir objetos con autorizaciones de uso público(PRTPUBAUT)

El mandato Imprimir objetos con autorizaciones de uso público (PRTPUBAUT)permite imprimir un informe de los objetos especificados que no posean laautorización de uso público de *EXCLUDE. En los objetos *PGM, solamente losprogramas que no posean una autorización de uso público de *EXCLUDE quepueda llamar un usuario (el programa es del dominio del usuario, o bien tiene unnivel de seguridad del sistema (valor del sistema QSECURITY) de 30 o inferior), seincluirán en el informe. Constituye una forma de comprobar los objetos que todoslos usuarios del sistema están autorizados a acceder.

Este mandato imprimirá dos informes. El primer informe (Informe completo)contendrá todos los objetos especificados que no posean una autorización de usopúblico de *EXCLUDE. El segundo informe (Informe de cambios) contendrá losobjetos que ahora no tengan la autorización de uso público de *EXCLUDE, y queanteriormente tuvieran la autorización de uso público de *EXCLUDE o bien noexistieran cuando se ejecutara previamente el mandato PRTPUBAUT. Si no sehubiera ejecutado previamente el mandato PRTPUBAUT para los objetosespecificados y la biblioteca, carpeta o directorio, no se creará ningún ’Informe decambios’. Si se hubiese ejecutado previamente el mandato, pero ningún objetoadicional no tuviera la autorización de uso público de *EXCLUDE, se imprimirá el’Informe de cambios’, aunque no listará ningún objeto.

Restricciones: Deberá tener la autorización especial de *ALLOBJ para utilizar estecomando.

Ejemplos:

Este mandato crea los informes completo y de cambios para todos los objetos dearchivo de la biblioteca GARRY que no tienen una autorización de uso público*EXCLUDE:PRTPUBAUT OBJTYPE(*FILE) LIB(GARRY)

Este mandato crea los informes completo, de cambios y de supresiones para todoslos objetos de archivo continuo de la estructura de subdirectorios que empieza enel directorio garry, que no tienen una autorización de uso público *EXCLUDE:PRTPUBAUT OBJTYPE(*STMF) DIR(GARRY) SCHSUBDIR(*YES)


Restricción del acceso al sistema de archivos QSYS.LIBPuesto que el sistema de archivos raíz se considera como el sistema de archivosbase, el sistema de archivos QSYS.LIB constituye un subdirectorio dentro deldirectorio raíz. Por consiguiente, cualquier usuario de PC que disponga de accesoal iSeries puede manipular los objetos almacenados en las bibliotecas del iSeries (elsistema de archivos QSYS.LIB) con acciones y mandatos de PC normales.Unusuario de PC puede, por ejemplo, arrastrar un objeto de QSYS.LIB (como labiblioteca con sus archivos de datos críticos) a la troceadora.

Tal y como se ha explicado en “Consejos de seguridad para los sistemas dearchivos raíz (/), QOpenSys y los definidos por el usuario” en la página 135, elsistema fuerza todas las autorizaciones sobre objeto, tanto si son visibles para lainterfaz como si no. Por consiguiente, un usuario no puede trocear (suprimir) unobjeto a menos que el usuario tenga la autorización *OBJEXIST para el objeto. Sinembargo, si su iSeries depende de la seguridad de acceso de menú en lugar de laseguridad de los objetos, el usuario del PC puede descubrir objetos del sistema dearchivos QSYS.LIB disponibles para trocear.

A medida que vaya ampliando las utilizaciones del sistema y los diferentesmétodos de acceso que puede proporcionar, irá descubriendo que la seguridad deacceso de menú no es suficiente. En el “Capítulo 6. Utilización de la autorizaciónsobre objetos para proteger la información” en la página 59 se tratan las estrategiaspara proporcionar el control de acceso de menú con la seguridad de objetos. Sinembargo, el iSeries también proporciona un modo sencillo para impedir el accesoal sistema de archivos QSYS.LIB a través de la estructura de directorios del sistemade archivos raíz.Puede utilizar la lista de autorizaciones de QPWFSERVER paracontrolar los usuarios que pueden acceder al sistema de archivos QSYS.LIB através del directorio raíz.

Cuando la autorización de un usuario a la lista de autorizaciones QPWFSERVER es*EXCLUDE, el usuario no puede entrar en el directorio QSYS.LIB desde laestructura del directorio raíz. Si la autorización es *USE, el usuario puede entrar enel directorio. Cuando el usuario dispone de la autorización para entrar en eldirectorio, la autorización normal de objeto se aplica a todas las acciones queintente llevar a cabo en un objeto del sistema de archivos QSYS.LIB. En otraspalabras, la autorización de la lista de autorizaciones QPWFSERVER actúa comouna puerta al sistema de archivos QSYS.LIB completo. Para el usuario con laautorización *EXCLUDE, la puerta está bloqueada. Para el usuario con laautorización *USE (o cualquier autorización superior), la puerta está abierta.

En la mayor parte de las situaciones, los usuarios no necesitan utilizar una interfazde directorio para acceder a los objetos del sistema de archivos QSYS.LIB.Probablemente, quizá desee establecer la autorización de uso público de la lista deautorizaciones QPWFSERVER para *EXCLUDE. Recuerde que la autorización de lalista de autorizaciones abre o cierra la puerta de todas las bibliotecas contenidas enel sistema de archivos QSYS.LIB, incluyendo las bibliotecas de usuario. Si algúnusuario pone objeciones a esta exclusión, puede evaluar sus requisitosindividualmente. Si lo considera necesario, puede autorizar explícitamente a unusuario individual a la lista de autorizaciones. Sin embargo, debe asegurarse deque el usuario tenga la autorización adecuada para los objetos del sistema dearchivos QSYS.LIB. De lo contrario, podrá suprimir objetos o bibliotecas enterasinvoluntariamente.


Notas:

1. Cuando se entrega el sistema, la autorización de uso público para la lista deautorizaciones QPWFSERVER es *USE.

2. Si autoriza a un usuario individual de forma explícita la lista de autorizacionescontrola el acceso solamente con el servidor de archivos Client Access, elservidor de archivos NetServer y el servidor de archivos entre iSeries. Ello noevitará el acceso a los mismos directorios desde FTP, ODBC u otras redes.

Seguridad de los directoriosPara acceder a un objeto del sistema de archivos raíz, debe leer la vía de accesocompleta a dicho objeto. Para buscar un directorio, debe disponer de unaautorización *X (*OBJOPR y *EXECUTE) para dicho directorio. Suponga, porejemplo, que desea acceder al objeto siguiente:/companya/customers/custfile.dat

Debe tener autorización *X para el directorio companya y para el directoriocustomers.

Con el sistema de archivos raíz, puede crear un enlace simbólico para un objeto.Un enlace simbólico es un seudónimo para el nombre de la vía de acceso.Generalmente, es más corto y más fácil de recordar que el nombre de la vía deacceso completa. Sin embargo, un enlace simbólico no crea una vía de acceso físicadiferente para el objeto. El usuario continúa necesitando la autorización *X paracada directorio y subdirectorio de la vía de acceso física al objeto.

Para los objetos del sistema de archivos raíz, puede utilizar la seguridad dedirectorios del mismo modo que utilizaría la seguridad de bibliotecas en el sistemade archivos QSYS.LIB. Por ejemplo, puede establecer la autorización de uso públicode un directorio para *EXCLUDE e impedir así que los usuarios públicos puedanacceder a los objetos del árbol.

Seguridad para nuevos objetosAl crear un objeto nuevo en el sistema de archivos raíz, la interfaz que utilice paracrearlo determinará sus autorizaciones. Por ejemplo, si utiliza el mandato CRTDIRy sus valores por omisión, el nuevo directorio hereda todas las características deautorización de su directorio padre, incluidas las autorizaciones privadas, laautorización de grupo primario y la asociación de lista de autorizaciones. Losapartados siguientes describen cómo se determinan las autorizaciones para cadatipo de interfaz.

La autorización procede del directorio padre inmediato, no de los directoriossuperiores del árbol. Por consiguiente, como administrador de seguridad, necesitaver la autorización que asigna a los directorios de una jerarquía desde dosperspectivas:v Cómo influye la autorización en el acceso a los objetos del árbol (por ejemplo,

autorización de biblioteca).v Cómo influye la autorización en los objetos que se acaban de crear (por ejemplo,

el valor CRTAUT para bibliotecas).

Recomendación: Puede interesarle ofrecer a los usuarios que trabajen en el sistemade archivos integrado un directorio inicial (por ejemplo,/home/usrxxx) y luego establecer la seguridad de forma


apropiada (por ejemplo como PUBLIC *EXCLUDE). Todos losdirectorios que cree el usuario bajo su directorio inicial,heredarán las autorizaciones.

A continuación se muestran algunas descripciones de la herencia de autorizaciónpara interfaces diferentes:

Utilización del mandato Crear directorio de iSeries 400Al crear un nuevo subdirectorio utilizando el mandato CRTDIR, existen dosopciones para especificar la autorización:v Puede especificar la autorización de uso público (autorización sobre datos,

autorización sobre objetos o ambas).v Puede especificar *INDIR para la autorización sobre datos, la autorización sobre

objetos o ambas. Al especificar *INDIR para la autorización sobre datos y laautorización sobre objetos, el sistema hace una copia exacta de toda lainformación sobre autorizaciones del directorio padre en el nuevo objeto,incluyendo la lista de autorizaciones, el grupo primario, la autorización de usopúblico y las autorizaciones privadas. (El sistema no copia la autorizaciónprivada que tiene el perfil QSYS o el perfil QSECOFR para el objeto).

Creación de un directorio con una APIAl crear un directorio utilizando la API mkdir(), especifica las autorizaciones sobredatos para el propietario y el grupo primario y el público (utilizando la correlaciónde autorización de *R, *W y *X). El sistema utiliza la información del directoriopadre para establecer las autorizaciones sobre objetos para el propietario, el grupoprimario y el público.

Puesto que los sistemas operativos de tipo UNIX no disponen del concepto deautorizaciones sobre objeto, la API mkdir() no ofrece soporte para especificarautorizaciones sobre objeto. Si desea autorizaciones sobre objeto diferentes, puedeutilizar el mandato de iSeries CHGAUT. Sin embargo, al eliminar algunasautorizaciones sobre objeto, la aplicación de tipo UNIX puede no funcionar comoespera.

Creación de un archivo continuo con las API open() o creat()Cuando utilice la API creat() para crear un archivo continuo, puede especificar lasautorizaciones sobre datos para el propietario, el grupo primario y el público(utilizando las autorizaciones de tipo UNIX *R, *W y *X). El sistema utiliza lainformación del directorio padre para establecer las autorizaciones sobre objetospara el propietario, el grupo primario y el público.

También puede especificar estas autorizaciones al utilizar la API open() para crearun archivo continuo. Alternativamente, cuando utilice la API open() puedeespecificar que el objeto herede todas las autorizaciones del directorio padre. Estose denomina modalidad de herencia. Al especificar la modalidad de herencia, elsistema crea una copia exacta para las autorizaciones padre, incluyendo la lista deautorizaciones, el grupo primario, la autorización pública y las autorizacionesprivadas. Esta función es similar a especificar *INDIR en el mandato CRTDIR.

Creación de un objeto utilizando una interfaz de PCAl utilizar una aplicación de PC para crear un objeto en el sistema de archivosraíz, el sistema hereda automáticamente todas las autorizaciones del directoriopadre. Incluye la lista de autorizaciones, el grupo primario, la autorización de uso


público y las autorizaciones privadas. Las aplicaciones de PC no equivalen enabsoluto a especificar la autorización cuando se crea un objeto.

Consejos de seguridad para los sistemas de archivos QLANSrv yQNetWare

La finalidad de los sistemas de archivos QLANSrv y QNetWare es proporcionar laposibilidad de que los trabajos de iSeries accedan a los datos de un servidor dered.Un trabajo de iSeries utiliza el sistema de archivos QLANSrv para que uncliente solicite datos al programa LAN Server.El programa LAN Server puede estarejecutándose en un servidor PC integrado en el mismo sistema iSeries, o bienpuede estar ejecutándose en un servidor separado físicamente en la red.

Nota: El sistema de archivos QLANSrv no está soportado después de la V4R3.Del mismo modo, un trabajo de iSeries utiliza el sistema de archivos QNetWarepara que un cliente solicite datos al programa Integraci¾n NetWare, que puedeestar ejecutándose en un Integrated xSeries Server for iSeries o en otro servidor.

Ni el sistema de archivos QLANSrv ni el sistema de archivos QNetWare almacenano mantienen los datos realmente. Proporcionan la función de cliente para permitirque los trabajos de iSeries accedan a los datos que almacena y mantiene unservidor.Por consiguiente, el programa servidor (LAN Server o Integraci¾nNetWare) es el responsable de proteger los datos.

Como administrador de seguridad de iSeries, deberá tener en cuenta dos cosas alejecutarse un programa servidor en un Servidor PC integrado o Integrated xSeriesServer for iSeries que forme parte de su sistema:v En primer lugar, debe saber quién es el responsable de la seguridad relacionada

con el servidor. ¿Tiene un administrador para el servidor y, en caso afirmativo,es esa persona responsable de la seguridad? ¿O, considera que los datos formanparte de la serie de aplicaciones de iSeries y, por consiguiente, son suresponsabilidad? Asegúrese de que no se ignore la seguridad del servidor sóloporque no se han definido correctamente las funciones administrativas.

v En segundo lugar, si su responsabilidad respecto a la seguridad en más ampliaque en las aplicaciones tradicionales de iSeries, será necesario comprender cómofunciona la seguridad del servidor. En las sugerencias siguientes se toma elprograma LAN Server como punto de partida. Otros programas de servidortienen consideraciones de seguridad similares.– Los usuarios de LAN Server no suponen una amenaza directa para su

sistema. No pueden acceder a los datos situados fuera del sistema de archivosQLANSrv desde el programa LAN Server.

– Debe comprender, así como el administrador de la LAN, que la recuperaciónde autorizaciones y de usuarios de LAN Server es diferente de larecuperación de las autorizaciones y los usuarios de iSeries.Debe elaborarplanes para asegurar que la información de seguridad de su LAN Server seguarda correctamente.

Consejos de seguridad para el sistema de archivos QFileSvr.400Con el sistema de archivos QFileSvr.400, un usuario (USERX) de un sistema iSeries(SYSTEMA) puede acceder a los datos de otro sistema iSeries conectado(SYSTEMB).El USERX tiene una interfaz que es exactamente igual a la interfaz deClient Access. El iSeries remoto (SYSTEMB) se muestra como un directorio contodos sus sistemas de archivos y subdirectorios.


Cuando USERX intenta acceder a SYSTEMB con esta interfaz, SYSTEMA envía elnombre de perfil de usuario USERX y la contraseña cifrada para SYSTEMB. Elmismo perfil de usuario y la misma contraseña deben existir en SYSTEMB oSYSTEMB rechaza la petición.

Si SYSTEMB acepta la petición, USERX se muestra a SYSTEMB como cualquierotro usuario de Client Access. Las mismas normas de comprobación deautorización se aplican a todas las acciones que intente USERX.

Como administrador de seguridad, debe saber que el sistema de archivosQFileSvr.400 representa otra puerta posible al sistema. No puede asumir que estálimitando a sus usuarios remotos a una conexión interactiva con paso a través deestación de pantalla. Si se está ejecutando el subsistema QSERVER y el sistema estáconectado a otro sistema iSeries, los usuarios remotos pueden acceder al sistemacomo si estuvieran en un PC local ejecutando Client Access.Es más que probableque su sistema disponga de una conexión que precise que se ejecute el subsistemaQSERVER. Este sería otro de los motivos por los que un esquema de autorizaciónsobre objeto resulta esencial.

Consejos de seguridad para el sistema de archivos de redEl sistema de archivos de red (NFS) proporciona acceso a sistemas conimplementaciones NFS. NFS es un método estándar del mercado para compartirinformación entre usuarios de los sistemas de la red. La mayor parte de lossistemas operativos importantes (incluyendo sistemas operativos de PC)proporciona NFS. Para sistemas UNIX, NFS es el método principal para acceder alos datos. iSeries puede actuar como un cliente o como un servidor NFS.

Si es un administrador de seguridad de un sistema iSeries que actúa como unservidor NFS, necesita comprender y gestionar los aspectos de seguridad de NFS.Acontinuación se presentan algunas sugerencias y consideraciones:v Debe iniciar explícitamente la función de servidor NFS utilizando el mandato

STRNFSSVR. Controle quién está autorizado a utilizar este mandato.v Para que un directorio o un objeto estén disponibles para los clientes NFS debe

exportarlos. Por consiguiente, dispone de un control específico a través del cualparte de su sistema estará disponible a los clientes NFS de la red.

v Al exportar, puede especificar los clientes que deben disponer de acceso a losobjetos. La identificación de un cliente se lleva a cabo mediante el nombre delsistema o la dirección IP. Un cliente puede ser un PC individual o un sistemaiSeries o UNIX completo. En terminología NFS, el cliente (dirección IP) sedenomina una máquina.

v Al exportar, puede especificar el acceso de sólo lectura o de lectura/grabaciónpara cada máquina que tenga acceso a un directorio u objeto exportado. En lamayoría de los casos, quizá desee proporcionar acceso de sólo lectura.

v El NFS no proporciona protección de contraseña. Su diseño y finalidad escompartir datos entre una comunidad de sistemas autorizados. Cuando unusuario solicita acceso, el servidor recibe el uid del usuario. A continuación seincluyen algunas consideraciones acerca del uid:– El iSeries intenta localizar un perfil de usuario con el mismo uid.Si encuentra

un uid que coincide, utiliza las credenciales del perfil de usuario. Lascredenciales son un término NFS para describir la utilización de laautorización de un usuario. Es similar al intercambio de perfiles de otrasaplicaciones iSeries.


– Al exportar un directorio u objeto, puede especificar si se permitirá el accesomediante un perfil con autorización raíz. El servidor NFS de iSeries comparala autorización raíz con la autorización especial de *ALLOBJ. Si especifica queno permitirá la autorización raíz, un usuario NFS con un uid que secorrelacione con un perfil de usuario con autorización especial *ALLOBJ nopodrá acceder al objeto que tenga ese perfil. En su lugar, si se permite elacceso anónimo, el peticionario se correlacionará con el perfil anónimo.

– Al exportar un directorio u objeto, puede especificar si se permitiránpeticiones anónimas. Una petición anónima es una petición con un uid queno coincide con ningún uid del sistema. Si elige permitir peticiones anónimas,el sistema correlaciona el usuario anónimo con el perfil de usuarioQNFSANON suministrado por IBM. Este perfil de usuario no dispone deninguna autorización especial o explícita. (Si lo desea, en la exportación,puede especificar un perfil de usuario diferente para las peticiones anónimas).

v Cuando el iSeries participa en una red NFS (o en cualquier red con sistemasUNIX que dependan de los uid), probablemente necesite gestionar sus propiosuid en lugar de permitir que el sistema los asigne automáticamente. Debecoordinar los uid con otros sistemas de la red.Quizá se dé cuenta de que debe cambiar los uid (incluso para perfiles de usuariosuministrados por IBM) para disponer de compatibilidad con otros sistemas dela red. A partir de la V3R7, existe un programa disponible para simplificar elcambio de uid para un perfil de usuario. (Al cambiar el uid para un perfil deusuario, también debe cambiar el uid de todos los objetos que pertenecen alperfil, tanto en el directorio raíz como en el directorio QOpenSrv.) El programaQSYCHGID cambia automáticamente el uid tanto en el perfil de usuario comoen los objetos pertenecientes al mismo. Para obtener información sobre cómoutilizar este programa, consulte el manual iSeries 400 System API Reference.


Capítulo 13. Consejos para la seguridad de lascomunicaciones APPC

Cuando el sistema forma parte de una red conjuntamente con otros sistemas, escomo si se abrieran nuevas puertas para acceder a él. Como administrador deseguridad, debe tener presentes las opciones que puede utilizar para controlar laentrada en el sistema en un entorno APPC.

Las comunicaciones avanzadas programa a programa (APPC) son una forma decomunicación entre los sistemas, incluidos los PC. El paso a través de estación depantalla, la Gestión de datos distribuidos y Client Access pueden utilizar lascomunicaciones APPC.

Los temas que se tratan a continuación proporcionan información básica acerca decómo funcionan las comunicaciones APPC y cómo se puede establecer la seguridadidónea. Estos temas se concentran principalmente en los elementos relativos a laseguridad de una configuración APPC. Para adaptar este ejemplo a su caso, tendráque trabajar conjuntamente con quienes gestionan la red de comunicaciones yquizás también con los proveedores de aplicaciones. Utilice esta información comopunto de partida para comprender las cuestiones de seguridad y las opcionesdisponibles para APPC.

La seguridad nunca es “gratuita”. Algunas sugerencias para facilitar la seguridadde la red pueden convertir la administración de la red en una tarea más compleja.Por ejemplo, en este libro no se hace hincapié en APPN (Redes avanzadas de iguala igual), ya que sin APPN la seguridad es más fácil de comprender y gestionar. Noobstante, sin APPN, el administrador de la red debe crear manualmente lainformación de configuración que APPN crea de forma automática.

Los PC también usan comunicacionesUna gran cantidad de métodos para conectar los PC al iSeries dependen delas comunicaciones, como APPC o TCP/IP.Cuando lea los temas siguientes,asegúrese de que tiene en cuenta las cuestiones de seguridad de la conexión aotros sistemas y a los PC. Cuando diseñe la protección de la red, asegúrese deque no afecta negativamente a los PC que están conectados al sistema.

Terminología de APPCAPPC proporciona la posibilidad de que un usuario de un sistema trabaje en otrosistema. El sistema desde el que se inicia la petición recibe uno de estos nombres:v Sistema (de) origenv Sistema localv Cliente

El sistema que recibe la petición se denomina:v Sistema (de) destinov Sistema remotov Servidor


Elementos básicos de las comunicaciones APPCDesde el punto de vista del administrador de seguridad, deben darse lascondiciones que se indican a continuación para que un usuario de un sistema(SISTEMA1) pueda trabajar en otro sistema (SISTEMA2):v El sistema de origen (SISTEMA1) debe proporcionar una vía de acceso al sistema

de destino (SISTEMA2). Esta vía recibe el nombre de sesión APPC.v El sistema destino debe identificar al usuario y asociarlo con un perfil de

usuario.El sistema destino debe soportar el algoritmo de cifrado del sistemaorigen (consulte “Niveles de contraseña” en la página 26 para obtener másinformación).

v El sistema de destino debe iniciar un trabajo para el usuario con el entornoadecuado (valores de gestión de trabajo).

En los temas siguientes se tratan estos elementos y de qué manera estánrelacionados con la seguridad. El administrador de seguridad del sistema dedestino tiene la responsabilidad principal de garantizar que los usuarios de APPCno violan la seguridad. Sin embargo, si los administradores de seguridad de ambossistemas trabajan conjuntamente, la gestión de la seguridad de APPC es una tareamucho más sencilla.

Conceptos básicos de una sesión APPCEn un entorno APPC, cuando un usuario o una aplicación de un sistema (comoSISTEMA1 en la Figura 34) solicita acceso a otro sistema (SISTEMA2), ambossistemas establecen una sesión. Para establecer la sesión, los sistemas deben enlazardos descripciones de dispositivo APPC coincidentes. El parámetro de nombre deubicación remota (RMTLOCNAME) de la descripción de dispositivo del SISTEMA1debe coincidir con el parámetro de ubicación local (LCLLOCNAME) de ladescripción de dispositivo del SISTEMA2 y viceversa.

Para que dos sistemas establezcan una sesión APPC, las contraseñas de ubicaciónde las descripciones de dispositivo APPC en SISTEMA1 y SISTEMA2 deben seridénticas. En ambas debe especificarse *NONE o un mismo valor.

Si las contraseñas tienen un valor distinto de *NONE, se almacenan y setransmiten en formato cifrado. Si coinciden, los sistemas establecen una sesión. Sino coinciden, la petición del usuario se rechaza. La especificación de contraseñasde ubicación en los sistemas recibe el nombre de enlace protegido.

Nota: No todos los sistemas proporcionan soporte para la función de enlaceprotegido.

Descripción dispositivo Descripción dispositivoAPPC en SYSTEMA APPC en SYSTEMB

┌────────────────────────┐ ┌────────────────────────┐│ RMTLOCNAME: SYSTEMB ├──────────────Ê│ LCLLOCNAME: SYSTEMB │├────────────────────────┤ ├────────────────────────┤│ LCLLOCNAME: SYSTEMA ├──────────────Ê│ RMTLOCNAME: SYSTEMA │├────────────────────────┤ ├────────────────────────┤│ LOCPWD: X#@%6! ├──────────────Ê│ LOCPWD: X#@%6! │├────────────────────────┤ ├────────────────────────┤│ SECURELOC: *NO │ │ SECURELOC: *YES │└────────────────────────┘ └────────────────────────┘

Figura 34. Parámetros de descripción de dispositivo APPC


||||

Consejos para restringir las sesiones APPCComo administrador de seguridad de un sistema de origen, puede utilizar laautorización sobre objeto para controlar quién intenta acceder a otros sistemas.Establezca la autorización de uso público para las descripciones de dispositivoAPPC en *EXCLUDE y otorgue autorización *CHANGE a usuarios determinados.Utilice el valor del sistema QLMTSECOFR para impedir que los usuarios quetengan autorización especial *ALLOBJ utilicen las comunicaciones APPC.

Como administrador de seguridad de un sistema de destino, también debe utilizarla autorización sobre los dispositivos APPC para impedir que los usuarios inicienuna sesión APPC en su sistema. Sin embargo, debe saber qué ID de usuariointentará acceder a la descripción de dispositivo APPC. En el apartado “Cómo unusuario de APPC obtiene acceso al sistema destino” en la página 150 se describecómo el iSeries asocia un ID de usuario con una petición de sesión APPC.

Nota: Puede utilizar el mandato Imprimir objetos con autorización de uso público(PRTPUBAUT *DEVD) y el mandato Imprimir autorizaciones privadas(PRTPVTAUT *DEVD) para averiguar quién posee autorización sobre lasdescripciones de dispositivo de su sistema.

Cuando su sistema utiliza APPN, crea automáticamente un dispositivo APPCnuevo si no hay ningún dispositivo disponible para la ruta elegida por el sistema.Un método para restringir el acceso a los dispositivos APPC de un sistema queutiliza APPN es crear una lista de autorizaciones. La lista de autorizacionescontiene la lista de los usuarios que deben tener autorización para los dispositivosAPPC. Utilice el mandato Cambiar valor por omisión de mandato (CHGCMDDFT)para cambiar el mandato CRTDEVAPPC. Para el parámetro de autorización (AUT)del mandato CRTDEVAPPC, establezca el valor por omisión para la lista deautorizaciones que ha creado.

Nota: Si el sistema utiliza un idioma que no es el inglés, debe cambiar el valor poromisión del mandato en la biblioteca QSYSxxxx para cada idioma nacionalque se utilice en el sistema.

Utilice el parámetro de contraseña de ubicación (LOCPWD) en la descripción dedispositivo APPC para validar la identidad de otro sistema que está solicitandouna sesión en su sistema (para un usuario o una aplicación). La contraseña deubicación puede ayudarle a detectar un sistema impostor.

Cuando utilice contraseñas de ubicación, debe trabajar en coordinación con losadministradores de seguridad de los demás sistemas de la red. También debecontrolar quién puede crear o cambiar las descripciones de dispositivo APPC y laslistas de configuraciones. El sistema requiere la autorización especial *IOSYSCFGpara utilizar los mandatos que trabajan con listas de configuraciones y dispositivosAPPC.

Nota: Cuando utiliza APPN, las contraseñas de ubicación se almacenan en la listade configuración QAPPNRMT en lugar de en las descripciones dedispositivo.

Capítulo 13. Consejos para la seguridad de las comunicaciones APPC 149

Cómo un usuario de APPC obtiene acceso al sistema destinoCuando los sistemas establecen la sesión APPC, crean una vía de acceso para queel usuario solicitante llegue a la ″puerta″ del sistema de destino. Algunos otroselementos determinan lo que debe hacer el usuario para conseguir la entrada alotro sistema.

En los temas siguientes se describen los elementos que determinan cómo unusuario de APPC obtiene el acceso a un sistema de destino.

Métodos que utiliza el sistema para enviar información sobreun usuario

La arquitectura APPC proporciona tres métodos para enviar información deseguridad acerca de un usuario desde el sistema de origen al sistema de destino.Estos métodos reciben el nombre de valores de seguridad con arquitectura. En laTabla 18 se muestran estos métodos:

Nota: La publicación APPC Programming proporciona más información acerca delos valores de seguridad con arquitectura.

Tabla 18. Valores de seguridad en la arquitectura APPCValor de seguridad conarquitectura

ID de usuario enviado alsistema de destino

Contraseña enviada alsistema de destino

NONE No NoSAME Sí1 Vea la nota 2.Programa Sí Yes3

Notas:

1. El sistema de origen envía el ID de usuario si el sistema de destino tiene el valorSECURELOC(*YES) o SECURELOC(*VFYENCPWD).

2. El usuario no entra una contraseña en la petición porque el sistema de origen ya haverificado la contraseña. En el caso de SECURELOC(*YES) y de SECURELOC(*NO), elsistema de origen no envía la contraseña. En el caso de SECURELOC(*VFYENCPWD),el sistema de origen recupera la contraseña cifrada almacenada y la envía (en formatocifrado).

3. En la V3R1 y en las versiones posteriores, el sistema envía las contraseñas cifradas si elsistema de origen y el sistema de destino ofrecen soporte para el cifrado decontraseñas. De lo contrario, la contraseña no se cifra.

La aplicación que el usuario solicita determina el valor de seguridad conarquitectura. Por ejemplo, SNADS siempre utiliza SECURITY(NONE). DDM utilizaSECURITY(SAME). Con el paso a través de estación de pantalla, el usuarioespecifica el valor de seguridad utilizando parámetros del mandato STRPASTHR.

En todos los casos, el sistema de destino decide si se acepta una petición con elvalor de seguridad que está especificado en el sistema de origen. En algunos casos,el sistema de destino puede rechazar totalmente la petición. En otros casos, elsistema de destino puede forzar la utilización de otro valor de seguridad. Porejemplo, cuando un usuario especifica un ID de usuario y una contraseña en elmandato STRPASTHR, la petición utiliza SECURITY(PGM). Sin embargo, si elvalor del sistema QRMTSIGN es *FRCSIGNON en el sistema de destino, el usuariosigue visualizando la pantalla Inicio de sesión. Con el valor *FRCSIGNON, elsistema siempre utiliza SECURITY(NONE), que es lo mismo que no entrar ID deusuario ni contraseña en el mandato STRPASTHR.


Notas:

1. Los sistemas de origen y de destino negocian el valor de seguridad antes deenviar datos. En el caso en que el sistema de destino especifiqueSECURELOC(*NO) y la petición sea SECURITY(SAME), por ejemplo, el sistemade destino indicará al sistema de origen que se utilizará SECURITY(NONE). Elsistema de origen no envía el ID de usuario.

2. A partir de la V4R2, el sistema de destino rechaza una petición de sesión unavez que ha caducado la contraseña del usuario en el sistema de destino. Estosólo es aplicable a las peticiones de conexión que envían una contraseña, lo queincluye lo siguiente:v Peticiones de sesión del tipo SECURITY(PROGRAM).v Peticiones de sesión del tipo SECURITY(SAME) cuando el valor de

SECURELOC es *VFYENCPWD.

Opciones para repartir la responsabilidad de la seguridad enuna red

Cuando su sistema participa en una red, debe decidir si confiará en los otrossistemas para la validación de la identidad de un usuario que intente entrar en susistema. ¿Confiará en el SISTEMA1 para asegurarse de que USUARIO1 esrealmente USUARIO1 (o de que QSECOFR es, en efecto, QSECOFR)? ¿O exigiráque el usuario proporcione de nuevo el ID de usuario y la contraseña?

El parámetro de proteger ubicación (SECURELOC) de la descripción de dispositivoAPPC en el sistema de destino indica si el sistema de origen es una ubicaciónprotegida (en la que se confiará). Por ejemplo, en la Figura 34 en la página 148, elSISTEMA2 confía en el SISTEMA1 para la validación de las identidades de losusuarios (el parámetro SECURELOC de la descripción de dispositivo en SISTEMA2es *YES). El SISTEMA1 no confía en el SISTEMA2 para validar las identidades delos usuarios.

Cuando ambos sistemas están ejecutando un release que soporta *VFYENCPWD(V3R2 o posterior), SECURELOC(*VFYENCPWD) proporciona protección adicionalcuando las aplicaciones utilizan SECURITY(SAME). Aunque el solicitante no entreuna contraseña en la petición, el sistema de origen recupera la contraseña delusuario y la envía con la petición. Para que ésta sea satisfactoria, el usuario debetener el mismo ID de usuario y la misma contraseña en ambos sistemas.

Cuando el sistema de destino especifica SECURELOC(*VFYENCPWD) y el sistemade origen no da soporte a este valor, el sistema de destino manejará la peticióncomo SECURITY(NONE).

En la Tabla 19 se ilustra el funcionamiento conjunto del valor de seguridad conarquitectura y el valor SECURELOC:

Tabla 19. Funcionamiento conjunto del valor de seguridad de APPC y del valorSECURELOC

Sistema de origen Sistema de destino

Valor de seguridadcon arquitectura

Valor SECURELOCPerfil de usuario para trabajo

NONE Cualquiera Usuario por omisión1


Tabla 19. Funcionamiento conjunto del valor de seguridad de APPC y del valorSECURELOC (continuación)

Sistema de origen Sistema de destino

Valor de seguridadcon arquitectura

Valor SECURELOCPerfil de usuario para trabajo

SAME *NO Usuario por omisión1

*YES El mismo nombre de perfil de usuario delsolicitante en el sistema origen

*VFYENCPWD El mismo nombre de perfil de usuario delsolicitante del sistema de origen. El usuariodebe tener de la misma contraseña enambos sistemas.

Programa Cualquiera Los perfiles de usuario que se hanespecificado en la solicitud del sistemaorigen.

Notas:

1. El usuario por omisión lo determina la entrada de comunicaciones de la descripción desubsistema. Se describe en “Cómo asigna el sistema de destino un perfil de usuariopara el trabajo”.

Cómo asigna el sistema de destino un perfil de usuario para el trabajoCuando un usuario solicita un trabajo APPC que está en otro sistema, la peticióntiene un nombre de modalidad asociado. Dicho nombre puede provenir de lapetición del usuario o puede ser un valor por omisión de los atributos de red delsistema de origen.

El sistema de destino utiliza el nombre de modalidad y el nombre de dispositivoAPPC para determinar cómo se ejecutará el trabajo. El sistema de destino busca enlos subsistemas activos una entrada de comunicaciones que sea la más adecuadapara el nombre de dispositivo APPC y el nombre de modalidad.

La entrada de comunicaciones especifica el perfil de usuario que el sistemautilizará para las peticiones SECURITY(NONE). A continuación se facilita unejemplo de una entrada de comunicaciones en una descripción de subsistema.

Visualizar entradas de comunicaciones

Descripción subsistema: QCMN Estado: ACTIVO

Descripción Usuario MáxDispositivo Modalidad de trabajo Biblioteca omisión activos*ALL *ANY *USRPRF *SYS *NOMAX*ALL QPCSUPP *USRPRF *NONE *NOMAX

En la Tabla 20 se muestran los valores posibles para el parámetro de usuario poromisión en una entrada de comunicaciones:

Tabla 20. Valores posibles para el parámetro de usuario por omisiónValor Resultado

*NONE No hay ningún usuario por omisión disponible. Si el sistema de origen no proporciona unID de usuario en la petición, el trabajo no se ejecutará.


Tabla 20. Valores posibles para el parámetro de usuario por omisión (continuación)Valor Resultado

*SYS Solamente se ejecutarán los programas proporcionados por IBM. No se ejecutará ningunaaplicación de usuario.

nombre de usuario Si el sistema de origen no envía un ID de usuario, el trabajo se ejecuta bajo este perfil deusuario.

Puede utilizar el mandato Imprimir descripción de subsistema (PRTSBSDAUT)para imprimir la lista de todos los subsistemas que tengan entradas decomunicaciones con un perfil de usuario por omisión.

Opciones para el paso a través de estación de pantallaEl paso a través de estación de pantalla es un ejemplo de aplicación que utilizacomunicaciones APPC. Puede utilizar el paso a través de estación de pantalla parainiciar la sesión en otro sistema que esté conectado al suyo a través de una red.

La Tabla 21 muestra ejemplos de peticiones de paso a través (mandatoSTRPASTHR) y cómo las maneja el sistema destino. Para el paso a través deestación de pantalla, el sistema utiliza los elementos básicos de las comunicacionesAPPC y el valor del sistema de inicio de sesión remoto (QRMTSIGN).

Nota: Las peticiones de paso a través de estación de pantalla ya no se direccionana través de los subsistemas QCMN o QBASE. A partir de la V4R1, sedireccionan a través del subsistema QSYSWRK. Antes de la V4R1 sepresuponía que, al no haber iniciado los subsistemas QCMD o QBASE, elpaso a través de estación de pantalla no funcionaría. Esto ya no es verdad.Puede forzar el paso a través de estación de pantalla para que vaya a travésde QCMN (o QBASE, si está activo) estableciendo el valor del sistemaQPASTHRSVR en 0.

Tabla 21. Ejemplo de peticiones de inicio de sesión mediante paso a través

Valores del mandato STRPASTHR Sistema de destino

ID de usuario Contraseña Valor SECURELOC Valor QRMTSIGN Resultado

*NONE *NONE Cualquiera Cualquiera El usuario debe iniciar lasesión en el sistema dedestino.

Nombre de perfil deusuario

No entrada Cualquiera Cualquiera La petición falla.


Tabla 21. Ejemplo de peticiones de inicio de sesión mediante paso a través (continuación)



*CURRENT No entrada *NO Cualquiera La petición falla.

*YES *SAMEPRF Un trabajo interactivo seinicia con el mismo nombrede perfil de usuario que elperfil de usuario del sistemaorigen. No se transfiereninguna contraseña alsistema remoto. El nombre deperfil de usuario debe existiren el sistema de destino.

*VERIFY

*FRCSIGNON El usuario debe iniciar lasesión en el sistema dedestino.

*VFYENCPWD *SAMEPRF Un trabajo interactivo seinicia con el mismo nombrede perfil de usuario que elperfil de usuario del sistemaorigen. El sistema de origenrecupera la contraseña delusuario y la envía al sistemaremoto. El nombre de perfilde usuario debe existir en elsistema de destino.

*VERIFY


*CURRENT (o elnombre del perfil deusuario actual parael trabajo)

Entrada Cualquiera *SAMEPRF Un trabajo interactivo seinicia con el mismo nombrede perfil de usuario que elperfil de usuario del sistemaorigen. La contraseña se envíaal sistema remoto. El nombrede perfil de usuario debeexistir en el sistema dedestino.

*VERIFY



Tabla 21. Ejemplo de peticiones de inicio de sesión mediante paso a través (continuación)



Nombre de perfil deusuario (distinto delnombre de perfil deusuario actual parael trabajo)

Entrada Cualquiera *SAMEPRF La petición falla.

*VERIFY Un trabajo interactivo seinicia con el mismo nombrede perfil de usuario que elperfil de usuario del sistemaorigen. La contraseña se envíaal sistema remoto. El nombrede perfil de usuario debeexistir en el sistema dedestino.

*FRCSIGNON Un trabajo interactivo seinicia con el nombreespecificado de perfil deusuario. La contraseña seenvía al sistema destino. Elnombre de perfil de usuariodebe existir en el sistema dedestino.

Consejos para evitar asignaciones inesperadas de dispositivosCuando se produce una anomalía en un dispositivo activo, el sistema intenta surecuperación. Bajo ciertas circunstancias, cuando la conexión se interrumpe otrousuario puede restablecer accidentalmente la sesión que ha sufrido la anomalía.Por ejemplo, suponga que el USUARIO1 ha apagado una estación de trabajo sinfinalizar la sesión. El USUARIO2 podría encender la estación de trabajo y reiniciarla sesión del USUARIO1 sin conectarse.

Para evitar esta posibilidad, establezca el valor del sistema de Acción de error deE/S de dispositivo (QDEVRCYACN) en *DSCMSG. Cuando se produce unaanomalía en un dispositivo, el sistema finalizará el trabajo del usuario.

Consejos para el control de los trabajos por lotes y los mandatosremotos

Hay varias opciones disponibles para ayudarle a controlar qué trabajos y mandatosremotos se pueden ejecutar en el sistema, incluidos los siguientes:v Si su sistema utiliza DDM, puede limitar el acceso a los archivos DDM para

impedir que los usuarios utilicen el mandato Someter mandato remoto(SBMRMTCMD) desde otro sistema. Para utilizar el mandato SBMRMTCMD, elusuario debe poder abrir un archivo DDM. También es necesario restringir lacapacidad de crear archivos DDM.

v Puede especificar un programa de salida para el valor del sistema Acceso apetición DDM (DDMACC). En el programa de salida puede evaluar todas laspeticiones DDM antes de permitirlas.

v Puede utilizar el atributo de red Acción de trabajo de red (JOBACN) paraimpedir que se sometan trabajos de red o que se ejecuten automáticamente.

v Puede especificar explícitamente qué peticiones de programa se pueden ejecutaren un entorno de comunicaciones eliminando la entrada de direccionamientoPGMEVOKE de las descripciones de subsistemas. La entrada de


direccionamiento PGMEVOKE permite al solicitante especificar el programa quese ejecuta. Cuando se elimina esta entrada de direccionamiento de lasdescripciones de subsistemas (por ejemplo, de la descripción del subsistemaQCMN), debe añadir entradas de direccionamiento para las peticiones decomunicaciones que deben ejecutarse satisfactoriamente.En la “Peticiones de TPN con arquitectura” en la página 128 se enumeran losnombres de programas para las peticiones de comunicaciones emitidas por lasaplicaciones proporcionadas por IBM.Para cada petición que desee permitir,puede añadir una entrada de direccionamiento con el valor de comparación y elnombre de programa iguales a los del nombre de programa.Cuando se utiliza este método es necesario saber cuál es el entorno de gestiónde trabajo del sistema y los tipos de peticiones de comunicaciones que seproducen en el sistema. Si es posible, deben comprobarse todos los tipos depeticiones de comunicaciones para asegurarse de que funcionan correctamentedespués de cambiar las entradas de direccionamiento. Cuando una petición decomunicaciones no encuentra una entrada de direccionamiento disponible, serecibe el mensaje CPF1269. Otra alternativa (con menos posibilidad de error,pero menos efectiva) es establecer la autorización de uso público para*EXCLUDE para los programas de transacción que no desea ejecutar en elsistema.

Nota: En la publicación puede obtener más información acerca de las entradasde direccionamiento y de cómo maneja el sistema las peticiones dearranque de programa.

Consejos de seguridad para la evaluación de la configuración APPCPuede utilizar el mandato Imprimir seguridad de comunicaciones (PRTCMNSEC) obien opciones de menú para imprimir los valores relativos a la seguridad de laconfiguración APPC. En los temas que figuran a continuación se describe lainformación de los informes.

Parámetros relativos a la seguridad para los dispositivosAPPC

En la Figura 35 se muestra un ejemplo del informe de las comunicacionescorrespondiente a las descripciones de dispositivos. La Figura 36 en la página 157contiene un ejemplo del informe correspondiente a las listas de configuraciones.Después de los informes encontrará explicaciones de los campos de los informes.

Información de comunicaciones (informe completo)SYSTEM4

Tipo de objeto . . . . . . . . : *DEVDSesión Arranque

Nombre Tipo Categoría Ubicación Contraseña Posibil. Una sola preesta- programaobjeto objeto dispositivo protegida ubicación APPN sesión blecida SNUF

CDMDEV1 *DEVD *APPC *NO *NO *NO *YES *NOCDMDEV2 *DEVD *APPC *NO *NO *NO *YES *NO

Figura 35. Descripciones de dispositivo APPC-Informe de ejemplo


Campo Ubicación protegidaEl campo Ubicación protegida (SECURELOC) especifica si el sistema local confíaen el sistema remoto para que éste último efectúe la verificación de las contraseñasen lugar del sistema local. El campo SECURELOC solamente incumbe a lasaplicaciones que utilizan el valor SECURITY(SAME), como las aplicaciones DDM ylas aplicaciones que utilizan la API de comunicaciones CPI.

SECURELOC(*YES) hace que el sistema local sea vulnerable a posibles deficienciasen el sistema remoto. Todos los usuarios que existan en ambos sistemas puedenllamar a programas del sistema local. Esto es especialmente peligroso, ya que elperfil de usuario QSECOFR (responsable de seguridad) existe en todos los sistemasiSeries y posee la autorización especial *ALLOBJ.Si un sistema de la red no protegecorrectamente la contraseña de QSECOFR, otros sistemas que traten a éste comoubicación protegida corren riesgos.

Si se utiliza SECURELOC(*VFYENCPWD), el sistema es menos vulnerable a otrossistemas que no protegen sus contraseñas adecuadamente. Un usuario que soliciteuna aplicación que utilice SECURITY(SAME) debe tener el mismo ID de usuario yla misma contraseña en ambos sistemas. SECURELOC(*VFYENCPWD) requiere lautilización de métodos de administración de contraseñas en la red para que losusuarios tengan la misma contraseña en todos los sistemas.

Nota: Sólo se ofrece soporte para SECURELOC(*VFYENCPWD) entre sistemas queejecuten la V3R2, la V3R7 o la V4R1. Si el sistema de destino especificaSECURELOC(*VFYENCPWD) y el sistema de origen no da soporte a estafunción, la petición se trata como SECURITY(NONE).

Si un sistema especifica SECURELOC(*NO), las aplicaciones que utilicenSECURITY(SAME) necesitarán un usuario por omisión para ejecutar programas. Elusuario por omisión depende de la descripción de dispositivo y de la modalidadasociadas con la petición. (Consulte el apartado “Cómo asigna el sistema dedestino un perfil de usuario para el trabajo” en la página 152.)

Visualizar lista de configuraciones Página 1SYSTEM4 12/17/95 07:24:36

Lista de configuraciones . . . . . : QAPPNRMTTipo de lista de configuraciones . : *APPNRMTTexto . . . . . . . . . . . . . . :----------------Ubicaciones remotas APPN----------------

ID de Punto ID redUbicac. red Ubicac. control punto Ubicac.remota remoto local remoto control protegidaSYSTEM36 APPN SYSTEM4 SYSTEM36 APPN *NOSYSTEM32 APPN SYSTEM4 SYSTEM32 APPN *NOSYSTEMU APPN SYSTEM4 SYSTEM33 APPN *YESSYSTEMJ APPN SYSTEM4 SYSTEMJ APPN *NOSYSTEMR2 APPN SYSTEM4 SYSTEM1 APPN *NO------------------------Ubicaciones remotas APPN--------------------------

ID de Punto SesiónUbicac. red Ubicac. Una sola Número de control preesta-remota remoto local sesión conversaciones local blecidaSYSTEM36 APPN SYSTEM4 *NO 10 *NO *NOSYSTEM32 APPN SYSTEM4 *NO 10 *NO *NO

Figura 36. Informe de lista de configuraciones-Ejemplo


Campo Contraseña de ubicaciónEl campo Contraseña de ubicación determina si dos sistemas intercambiaráncontraseñas para verificar que el sistema solicitante no es un sistema impostor. Enel apartado “Conceptos básicos de una sesión APPC” en la página 148 se facilitamás información acerca de las contraseñas de ubicación.

Campo Posibilidad de APPNEl campo Posibilidad de APPN (APPN) indica si el sistema remoto puede darsoporte a las funciones de red avanzada o si está limitado a las conexiones de unsolo salto. APPN(*YES) significa lo siguiente:v Si el sistema remoto es un nodo de la red, puede conectar el sistema local a

otros sistemas. Esta posibilidad recibe el nombre de direccionamiento de nodointermedio. Significa que los usuarios de su sistema pueden utilizar el sistemaremoto como ruta a una red más amplia.

v Si el sistema local es un nodo de red, el sistema remoto puede utilizar el sistemalocal para conectarse a otros sistemas. Los usuarios del sistema remoto puedenutilizar su sistema como ruta a una red más amplia.

Nota: Puede utilizar el mandato DSPNETA para determinar si un sistema es unnodo de red o un nodo final.

Campo Una sola sesiónEl campo Una sola sesión (SNGSSN) indica si el sistema remoto puede ejecutarmás de una sesión al mismo tiempo utilizando la misma descripción de dispositivoAPPC. SNGSSN(*NO) suele utilizarse porque elimina la necesidad de crear variasdescripciones de dispositivo para un sistema remoto. Por ejemplo, los usuarios dePC a menudo desean más de una sesión de emulación 5250 y sesiones para lasfunciones de servidor de archivos y servidor de impresión. Con SNGSSN(*NO),puede proporcionar esta función con una descripción de dispositivo para el PC enel sistema iSeries.

SNGSSN(*NO) significa que debe confiar en los procedimientos operativos deseguridad de los usuarios de PC y de otros usuarios APPC. Su sistema esvulnerable por un usuario del sistema remoto que inicie una sesión no autorizadaque utiliza la misma descripción de dispositivo que una sesión existente. (A estapráctica se le denomina en algunos casos parasitismo.)

Campo Sesión preestablecidaEl campo Sesión preestablecida (PREESTSSN) para un dispositivo de una solasesión controla si el sistema local inicia una sesión con el sistema remoto cuandoeste se pone en contacto por primera vez con el sistema local. PREESTSSN(*NO)significa que el sistema local espera a iniciar una sesión a que una aplicaciónsolicite una sesión con el sistema. PREESTSSN(*YES) es útil para minimizar eltiempo que tarda un programa de aplicación en completar la conexión.

PREESTSSN(*YES) impide que el sistema se desconecte de una línea conmutada(de marcación) que ya no se utiliza. La aplicación o el usuario deben desactivarexplícitamente la línea. PREESTSSN(*YES) puede aumentar el tiempo que elsistema local es vulnerable al parasitismo en la sesión.

Campo Arranque de programa SNUFEl campo Arranque de programa SNUF indica si el sistema remoto puede arrancarprogramas del sistema local. *YES significa que el esquema de autorización sobreobjetos del sistema local debe ser apropiado para proteger objetos cuando losusuarios del sistema remoto arrancan trabajos y ejecutan programas en el sistemalocal.


Parámetros relativos a la seguridad para los controladoresAPPC

La Figura 37 muestra un ejemplo del informe de las comunicacionescorrespondiente a las descripciones de controlador. Después del informe encontraráexplicaciones de los campos del informe.

Campo Creación automáticaEn una descripción de línea, el campo Creación automática (AUTOCRTCTL) indicasi el sistema local creará automáticamente una descripción de controlador cuandouna petición de entrada no encuentre una descripción de controlador coincidente.En una descripción de controlador, el campo Creación automática (AUTOCRTDEV)especifica si el sistema local creará automáticamente una descripción de dispositivocuando una petición de entrada no encuentre una descripción de dispositivocoincidente.

En el caso de los controladores con posibilidades de APPN, este campo no tieneefecto alguno. El sistema crea automáticamente descripciones de dispositivocuando es necesario, independientemente de cómo haya definido el campo decreación automática.

Cuando se especifica *YES para una descripción de línea, cualquier persona conacceso a la línea puede conectarse al sistema. Ello incluye ubicaciones que estánconectadas mediante puentes y direccionadores.

Campo Sesiones de punto de controlEn los controladores con posibilidad de APPN, el campo Sesiones de punto decontrol (CPSSN) controla si el sistema establecerá automáticamente una conexiónAPPC con el sistema remoto. El sistema utiliza la sesión CP para intercambiarinformación y estado de red con el sistema remoto. El intercambio de informaciónactualizada entre nodos de red APPN es especialmente importante para que la redfuncione correctamente.

Cuando se especifica *YES, las líneas conmutadas desocupadas no se desconectanautomáticamente. Esto hace que su sistema sea más vulnerable a que haya unasesión parásito.

Campo Temporizador de desconexiónPara un controlador APPC, el campo Temporizador de desconexión indica cuántotiempo debe transcurrir sin que se utilice un controlador (sin sesiones activas)antes de que el sistema desconecte la línea con el sistema remoto. Este campo tienedos valores. El primer valor indica cuánto tiempo permanecerá activo elcontrolador desde el momento en que se contacta con él inicialmente. El segundovalor determina cuánto tiempo espera el sistema tras la finalización de la últimasesión en el controlador antes de desconectar la línea.

Información de comunicaciones (informe completo)SYSTEM4

Tipo de objeto . . . . . . . . : *CTLD

Nombre Tipo Categoría Creación Controlad. Direcc. Posibil. Sesiones Temporiz. Segundos Nombreobjeto objeto controlad. autom. conmutado llamada APPN CP desconex. supres. dispos.CTL01 *CTLD *APPC *YES *YES *DIAL *YES *YES 0 1440 AARONCTL02 *CTLD *APPC *YES *YES *DIAL *YES *YES 0 1440 BASICCTL03 *CTLD *APPC *YES *YES *DIAL *YES *YES 0 1440 *NONE

Figura 37. Descripciones de controlador APPC-Ejemplo de informe


El sistema utiliza el temporizador de desconexión solamente cuando el valor delcampo de desconexión conmutada (SWTDSC) es *YES.

Si aumenta estos valores, el sistema será más vulnerable a las sesiones parásito.

Parámetros relativos a la seguridad para las descripciones delínea

En la Figura 38 se muestra un ejemplo del informe de las comunicacionescorrespondiente a las descripciones de línea. Después del informe encontraráexplicaciones de los campos del informe.

Campo Respuesta automáticaEl campo Respuesta automática (AUTOANS) indica si la línea conmutada aceptarálas llamadas de entrada sin la intervención del operador.

Si se especifica *YES, el sistema será menos seguro, ya que se podrá acceder a élcon más facilidad. Para reducir los riesgos de seguridad cuando se especifica *YES,debe desactivar la línea cuando no sea necesaria.

Campo Marcación automáticaEl campo Marcación automática (AUTODIAL) especifica si la línea conmutadapuede realizar llamadas de salida sin la intervención del operador.

Si se especifica *YES, se permite a los usuarios locales que no tienen acceso físico alos modems y a las líneas de comunicaciones que se conecten a otros sistemas.

Consideraciones sobre seguridad de APPC APPN y HPRA continuación se describen algunos aspectos sobre la seguridad para los sistemasiSeries que se comunican entre ellos utilizando APPC, APPN y HPR:v Consideraciones generales sobre seguridad:

Tenga en cuenta las siguientes medidas al proteger su red:

Nota: Las siguientes consideraciones sobre contraseñas sólo son aplicables si laprotección por contraseña no está activa.

– Cuando se utilice la seguridad de programas de aplicación, especifiqueSECURELOC(*VFYENCPWD). Esto significa que solamente conseguirá iniciarla sesión si tanto el nombre de perfil de usuario como la contraseña son losmismos en ambos sistemas

– La persona responsable de la seguridad de la red se asegura de que cadausuario tenga un ID de usuario exclusivo en toda la red.

– Haga que el administrador del sistema establezca un límite para el número deintentos consecutivos de entrar una contraseña que no sean válidos para un

Información de comunicaciones (informe completo)

Tipo de objeto . . . . . . . . : *LINDSegs.

Nombre Tipo Categoría Creación supres. Resp. Marcaciónobjeto objeto línea autom. autom. autom. autom.LINE01 *LIND *SDLC *NO 0 *NO *NOLINE02 *LIND *SDLC *NO 0 *YES *NOLINE03 *LIND *SDLC *NO 0 *NO *NOLINE04 *LIND *SDLC *NO 0 *YES *NO

Figura 38. Descripciones de línea de APPC-Ejemplo de informe


dispositivo de pantalla dado. Cuando se llegue a este límite, se desactivará eldispositivo. Establezca el límite con el valor del sistema QMAXSIGN.

Nota: Esto solamente se cumple en los dispositivos de pantalla, no en losdispositivos APPC.

– Los usuarios pueden iniciar la sesión en más de un sistema iSeries 400 con elmismo perfil. Para limitar el perfil de usuario a un inicio de sesión:- Establezca el valor del sistema (*SYSVAL) para el parámetro LMTDEVSSN

en el mandato Crear perfil de usuario (CRTUSRPRF) o en Cambiar perfilde usuario (CHGUSRPRF).

v Consideraciones sobre la seguridad física:

Usted es el responsable de la seguridad física de su sistema al especificar*NONE para el parámetro contraseña de ubicación (LOCPWD) durante laconfiguración de APPC. En este caso, el sistema iSeries no valida la identidad deun sistema remoto cuando se está estableciendo una sesión. No obstante, puedeutilizar igualmente la seguridad a nivel de aplicación si el sistema remoto lasoporta. Por ejemplo, si el sistema remoto es un sistema iSeries con un nivel deseguridad 20 o superior.

v Seguridad a nivel de sesión

En esta página solamente se trata la seguridad para las comunicaciones o lagestión de múltiples sistemas. La seguridad debe ser coherente en todos lossistemas de una red si tiene que controlarse el acceso entre sistemas y que noresulte restringido innecesariamente.

Para conocer las consideraciones sobre seguridad específicas de la ejecución deAPPN y HPR en su red, consulte Protección del sistema en un entorno APPN yHPR, para obtener más información.

Seguridad a nivel de sesión para APPN y HPRLa seguridad a nivel de sesión se consigue especificando una contraseña en elparámetro LOCPWD durante la configuración. El sistema iSeries 400 utiliza lacontraseña para validar la identidad del sistema remoto durante el establecimientode sesión. La contraseña debe coincidir con la especificada en el sistema remoto, ono se permitirá la conexión.

Si el sistema remoto no soporta la seguridad a nivel de sesión (Series/1 RPSversión 7.1, CICS/VS release 1.6):v Especifique LOCPWD(*NONE) para establecer la conexión y proporcionar la

seguridad física necesaria

Existe un problema de seguridad al crear descripciones de dispositivo conAPPN(*YES) y cuando APPN crea automáticamente y activa una descripción dedispositivo con el mismo ID de red remota, nombre de ubicación y nombre deubicación local que la entrada de la lista de configuración de la ubicación remotaAPPN. Para compensar las ubicaciones remotas que utilicen una descripción dedispositivo independiente con APPN(*YES):v Añada una entrada a la lista de configuración de la ubicación remota APPN que

incluya información de seguridad

Nota: Con la finalidad de evitar utilizar información de seguridad imprevisible,asegúrese de que todas las descripciones de dispositivo, tal como se describemás arriba, contengan exactamente la misma información de seguridad.


Protección del sistema en un entorno APPN y HPRLas redes APPN proporcionan conectividad abierta y requieren una mínimaconfiguración por parte de cada sistema de la red. Cuando un sistema tiene unaconexión en una red APPN, puede establecer sesiones con otros sistemas que esténconectados dentro de esa red APPN.

APPN reduce las barreras físicas y de configuración para las comunicaciones. Sinembargo, tal vez desee crear algunas barreras lógicas entre los sistemas de la redpor motivos de seguridad. Esta capacidad de controlar qué sistemas puedenconectarse con el suyo suele denominarse soporte de cortafuegos. Losadministradores de red podrían utilizar diversos tipos de nodos para especificarqué conexiones se permiten entre las ubicaciones de APPC. Por ejemplo, puede quequiera permitir que el SISTEMA2 se comunique con el SISTEMA1 y el SISTEMA4,pero no con el SISTEMA3. La página Soporte de filtrado APPN ofrece unaexplicación sobre este tema. Para obtener un ejemplo, vea Creación de un filtro depunto final de sesión. Como ampliación a esto, los administradores pueden utilizardireccionamiento de clase de servicio (COS) para seleccionar los nodos y grupos detransmisión elegibles para su inclusión en rutas de sesión de red.

Soporte de filtrado de APPNAntes de tratar el soporte de filtrado de APPN, es necesaria una explicación sobrelos tipos de nodos de una red APPN:v Un nodo periférico se encuentra en los extremos de la red. Puede participar en

la red, pero no puede proporcionar direccionamiento intermedio a otros sistemasde la red. Un nodo periférico puede ser un nodo final (EN), como MADISON yPARIS en la figura mostrada más abajo. Un nodo periférico puede ser un nodode red de entrada baja (LEN), como CHICPC1 y CHICPC2. Un nodo periféricotambién puede ser un nodo de otra red (IDRED). Desde la perspectiva deCHICAGO, LONDON es un nodo periférico.

v Un nodo de red (NN) proporciona servicios de direccionamiento entre lossistemas de la red. En CHICAGO y ATLANTA hay ejemplos de nodos de red.

v Un nodo Ampliador de rama es una extensión de la arquitectura de red APPNque aparece como nodo de red (NN) para la Red de Área Local (LAN) y comonodo final (EN) para la Red de Área Amplia (WAN). Esto reduce la posibilidadde que el flujo de topología sobre recursos en la LAN se desconecte de la WAN.

El soporte de filtrado de APPN proporciona la capacidad de crear un cortafuegosbasado en nombres de ubicación APPC. Puede utilizar dos tipos distintos de listasde filtros:v Un filtro de punto final de sesión controla el acceso a una ubicación y desde la

misma. Por ejemplo, en el filtro de punto final de sesión del sistema CHICAGOde la figura que aparece más abajo, especifica qué ubicaciones pueden estableceruna sesión con CHICAGO o con NOMINA. CHICAGO y NOMINA son dosubicaciones distintas del sistema CHICAGO.Del mismo modo, el filtro de punto final de sesión del sistema MADISONespecifica qué ubicaciones pueden establecer una sesión con la ubicaciónMADISON.

En iSeries, puede utilizar la nueva lista de configuración QAPPNSSN, sola oconjuntamente con la lista de configuración QAPPNRMT, para crear un filtro depunto final de sesión.

v Un filtro de búsqueda de directorio en un nodo de red determina lo siguientepara sus nodos periféricos asociados:

Figura 39. Dos redes APPN conectadas


– Acceso del nodo periférico (cuando el nodo periférico es el peticionario). Porejemplo, puede utilizar el filtro de búsqueda de directorio en LONDON paracontrolar los posibles destinos de los usuarios del sistema PARIS. Del mismomodo, puede utilizar el filtro de búsqueda de directorio en CHICAGO paracontrolar los posibles destinos de los usuarios de CHICPC1 y CHICPC2.

– Accesos al nodo periférico (cuando el nodo periférico es el destino). Porejemplo, puede utilizar el filtro de búsqueda de directorio en CHICAGO paradeterminar qué ubicaciones pueden acceder a CHICPC1. Puesto que tantoCHICAGO como DALLAS proporcionan conexiones a MADISON, debepreparar los filtros de búsqueda de directorio en CHICAGO y en DALLASpara limitar las conexiones a MADISON.Del mismo modo, puede utilizar el filtro de búsqueda de directorio enCHICAGO para especificar qué ubicaciones de USANET son destinospermitidos para los usuarios de EURONET.

Para crear un filtro de búsqueda de directorio, utilice la lista de configuraciónQAPPNDIR.

Creación de un filtro de punto final de sesiónA continuación se muestran dos métodos distintos para crear un filtro de puntofinal de sesión en el sistema CHICAGO, en la figura que aparece más abajo. Debensatisfacer los siguientes requisitos:v Solamente la ubicación FINANZA puede establecer una sesión con la ubicación

NOMINA.v La ubicación CHICAGO puede comunicarse con cualquier ubicación de

USANET excepto con NOMINA.v La ubicación CHICAGO puede comunicarse con LONDRES.


v Utilización conjunta de las listas de configuraciones QAPPNSSN yQAPPNRMT:

El método más seguro para crear un filtro de punto final de sesión es lautilización de las listas de configuraciones QAPPNSSN y QAPPNRMTconjuntamente. La lista de configuraciones QAPPNRMT proporciona seguridadde contraseña entre sistemas, lo que facilita la protección contra sistemasimpostores (que son sistemas o usuarios que se hacen pasar por otro sistema).Al utilizar este método creará la lista de configuración QAPPNSSN que noespecifica ninguna ubicación remota. Señala a la lista de configuracionesQAPPNRMT.El inconveniente de este método es que debe definir explícitamente cada par deubicaciones en la lista de configuraciones QAPPNRMT. Si desea que la ubicaciónCHICAGO (que está en el mismo sistema que la ubicación NOMINA) secomunique con otras ubicaciones, deberá añadir una entrada para cada par.

v Utilización de la lista de configuración QAPPNSSN solamente:

Cuando se especifican ubicaciones remotas en lista de configuracionesQAPPNSSN, las tareas de configuración son más sencillas, ya que se puedenutilizar nombres genéricos y comodines. Sin embargo, cuando se utiliza estemétodo, no se dispone de la protección de verificación de contraseñas entreubicaciones. Además, cuando se emplean nombres genéricos y comodines, elsistema puede aceptar o rechazar las peticiones de forma distinta a como sehabía previsto.

Direccionamiento de Clase de servicio (COS)Los nodos de red conservan información sobre todos los nodos de red y enlacesentre los nodos de red. Cuando se solicita una sesión, se especifica una modalidad.

Figura 40. Dos redes APPN conectadas


Cada nodo contiene un parámetro de clase de servicio (COS) que especifica ladescripción de clase de servicio que se utilizará para calcular la ruta que tomará lasesión. La clase de servicio también especifica la prioridad de transmisión quegobernará la cadencia de transferencia de datos una vez se haya establecido lasesión.

Con el sistema iSeries se envían las siguientes descripciones de clase de servicio:v #CONNECT: la clase de servicio por omisiónv #BATCH: una clase de servicio adaptada para las comunicaciones en proceso por

lotesv #BATCHSC: es igual que #BATCH excepto en que es necesario un nivel de

seguridad de enlace de datos de *PKTSWTNWK como mínimov #INTER: una clase de servicio adaptada para las comunicaciones interactivasv #INTERSC: es igual que #INTER excepto en que es necesario un nivel de

seguridad de enlace de datos de *PKTSWTNWK como mínimo


Capítulo 14. Consejos para la seguridad de lascomunicaciones TCP/IP

TCP/IP (Protocolo de control de transmisión/Protocolo de Internet) es una formahabitual de comunicación entre sistemas informáticos de todo tipo. Lasaplicaciones TCP/IP son bien conocidas y ampliamente utilizadas a lo largo de las“autopistas de la información”.

En este capítulo se proporcionan consejos para lo siguiente:v Evitar la ejecución de aplicaciones TCP/IP en el sistema.v Proteger los recursos del sistema cuando se permite la ejecución de aplicaciones

TCP/IP en él.

En el manual TCP/IP Configuration and Reference encontrará información completaacerca de todas las aplicaciones TCP/IP. SecureWay: Consejos y Herramientas paraInternet, que se encuentra en el Apéndice A, describe las consideraciones deseguridad a tener en cuenta al conectar el iSeries a Internet (una red TCP/IP degran tamaño) o a una intranet.

Tenga en cuenta que el iSeries soporta muchas aplicaciones TCP/IP posibles.Cuando decide permitir una aplicación TCP/IP en el sistema, puede que tambiénesté permitiendo otras aplicaciones TCP/IP. Como administrador de seguridad,necesita conocer el alcance de las aplicaciones TCP/IP y las implicaciones deseguridad de estas aplicaciones.

Consejos para evitar procesos TCP/IPLos trabajos servidores TCP/IP se ejecutan en el subsistema QSYSWRK. Se utilizael mandato Arrancar TCP/IP (STRTCP) para arrancar TCP/IP en el sistema. Si noquiere ejecutar ningún proceso ni aplicación TCP/IP, no utilice el mandatoSTRTCP. El sistema se suministra con el valor *EXCLUDE para la autorización deuso público para el mandato STRTCP.

Si sospecha que alguien con acceso al mandato está arrancando TCP/IP (fuera dehoras de trabajo, por ejemplo), puede establecer la auditoría de objetos sobre elmandato STRTCP. El sistema grabará una entrada de diario de auditoría cada vezque un usuario ejecute el mandato.

Componentes de seguridad de TCP/IPCon la Versión 4 Release 3, podrá beneficiarse de diversos componentes deseguridad de TCP/IP que mejoran la seguridad de la red y añaden flexibilidad.Aunque algunas de estas tecnologías también se encuentran en productoscortafuegos como IBM Firewall para iSeries 400, estos componentes de seguridadde TCP/IP para OS/400 no están pensados para utilizarlos como cortafuegos. Noobstante, puede utilizar algunas de sus funciones, en algunos casos para eliminarla necesidad de un producto cortafuegos aparte. También puede utilizar estasfunciones TCP/IP para proporcionar una seguridad adicional a los entornos en losque ya se esté utilizando un cortafuegos.

Los siguientes componentes pueden utilizarse para mejorar la Seguridad deTCP/IP:


||

v Seguridad de paquetesv Servidor proxy HTTP

Características de Seguridad de paquetes para asegurar eltráfico de TCP/IP

La característica de Seguridad de paquetes está disponible a través del OperationsNavigator iSeries. Permite crear reglas de filtrado para el Protocolo Internet (IP) yvalores para la Conversión de direcciones de red (NAT). Con ellos puede controlarel tráfico de TCP/IP que entra y sale de su sistema iSeries.

Filtrado de paquetes de Protocolo Internet (IP)

El filtrado de paquetes Protocolo Internet (IP) proporciona la capacidad debloquear el tráfico de IP de forma selectiva, basándose en la información de lascabecercas de los paquetes IP y las específicas del protocolo. Puede crear unconjunto de reglas de filtrado para especificar qué paquetes IP se permiten en sured, y a cuáles negar el acceso a su red. Cuando cree reglas de filtrado, las aplicaráen una interfaz física (por ejemplo, una línea Ethernet o de Red en Anillo). Puedeaplicar las reglas a múltiples interfaces físicas, o bien puede aplicar reglas distintasa cada interfaz.

Basándose en la siguiente información de cabecera, puede crear reglas parapermitir o rechazar paquetes específicos:v Dirección IP de destinov Protocolo de la dirección IP origen (por ejemplo, TCP, UDP, etc.).v Puerto de destino (por ejemplo, 80 para HTTP).v Puerto origenv Dirección de datagrama IP (de entrada o de salida)v Reenviado o Local

Puede utilizar el filtrado de paquetes IP para impedir que un tráfico indeseable oinnecesario alcance las aplicaciones del sistema, o se reenvíe a otros sistemas. Estoincluye los paquetes ICMP de bajo nivel (por ejemplo, paquetes PING), para loscuales no se precisa ningún servidor de aplicaciones específico.

Puede especificar si una regla de filtrado crea una anotación cronológica deentrada, con información acerca de los paquetes que coinciden con las reglas, enun diario del sistema. Una vez se haya anotado la información en un diario delsistema, no podrá modificar la entrada de las anotaciones. En consecuencia, lasanotaciones cronológicas son una herramienta ideal para auditar la actividad de lared.

Puede utilizar el filtrado de paquetes IP de OS/400 para proporcionar protecciónadicional para un sistema iSeries concreto. Por ejemplo, este sistema podría estarejecutando aplicaciones delicadas o dando servicios Web a Internet. También puedeutilizar el filtrado de paquetes para proteger toda una subred cuando el iSeries estéactuando como un direccionador ″ocasional″.

Encontrará más información sobre el uso del Filtrado de paquetes IP de OS/400 enel Information Center.

Conversión de direcciones de red (NAT: Network Address Translation)


|

|

La Conversión de direcciones de red (NAT) modifica las direcciones IP origen odestino, o ambas, de los paquetes que fluyen por el sistema. Con NAT, podráutilizar el sistema iSeries como pasarela entre dos redes que posean esquemas dedireccionamiento conflictivos o incompatibles. También podrá utilizar NAT paraocultar las direcciones IP reales de una red, sustituyéndolas dinámicamente porotras direcciones distintas.

Para poder utilizar NAT, deberá crear un conjunto de reglas que especifiquen elmodo en que se convertirán las direcciones. Las reglas de ″Correlación″ conviertenuna dirección estática en otra (por ejemplo, ″a.b.c.d″ se convierte en ″e.f.g.h″).Puede utilizar una regla de correlación cuando el sistema con una dirección″e.f.g.h″ real proporcione servicios a los que desee acceder desde otra red. En esaotra red, es necesario o deseable conocer el sistema por la dirección ″a.b.c.d.″. Lasreglas ″Ocultar″ convierten todas las direcciones de una subred en una únicadirección IP. Puede utilizar una regla Ocultar cuando los sistemas cliente debanacceder a los servicios de otra red, y sea necesario o deseable utilizar unaestructura alternativa de direccionamiento.

Nota: Ya que el Filtrado de paquetes IP y la Conversión de Direcciones de Red secomplementan entre sí, a menudo las utilizará juntas para mejorar laseguridad de una red.

Debería considerar el uso de las funciones de Conversión de direcciones de red(NAT) de OS/400 cuando conecte dos redes anteriormente separadas que poseanestructuras de direcciones IP incoherentes o incompatibles.

Encontrará más información sobre el uso de la Conversión de direcciones de redde OS/400 en el Information Center.

Servidor proxy HTTPEl servidor proxy HTTP viene con el IBM HTTP Server para iSeries 400. El HTTPServer forma parte de OS/400. El servidor proxy recibe las peticiones HTTP de losnavegadores Web, y las vuelve a enviar a los servidores Web. Los servidores Webque reciben las peticiones solamente conocen las direcciones IP del servidor proxy,y no pueden determinar los nombres o direcciones de los PC que originaron laspeticiones. El servidor proxy puede manejar peticiones URL para HTTP, FTP,Gopher y WAIS.

El servidor proxy pone en antememoria las páginas Web devueltas, consecuenciade las peticiones efectuadas por todos los usuarios del servidor proxy. Por lo tanto,cuando los usuarios pidan una página, el servidor proxy comprobará su existenciaen la antememoria. En caso afirmativo, el servidor proxy devolverá la página quetiene en la antememoria. Con el uso de páginas en antememoria, el servidor proxyes capaz de servir páginas Web con más rapidez, lo cual elimina las peticiones alservidor Web que potencialmente podrían consumir mucho tiempo.

El servidor proxy también puede anotar todas las peticiones URL a efectos derastreo. Posteriormente se pueden repasar las anotaciones para supervisar el uso ymal uso de los recursos de la red.

Puede utilizar el soporte de proxy HTTP del IBM HTTP Server para consolidar elacceso a la Web. Las direcciones de los clientes PC se ocultan a los servidores Weba los que acceden; solamente se conoce la dirección IP del servidor proxy. Poner enantememoria las páginas Web también reduce los requisitos de ancho de banda enlas comunicaciones y la carga de trabajo de los cortafuegos.

Capítulo 14. Consejos para la seguridad de las comunicaciones TCP/IP 169

Consejos generales para la seguridad del entorno TCP/IPEste tema proporciona sugerencias generales acerca de los pasos que puede seguirpara reducir los riesgos en la seguridad relativos al entorno TCP/IP del sistema.Estos consejos se aplican a todo el entorno TCP/IP en lugar de a las aplicacionesespecíficas que se tratan en los temas siguientes.v Al escribir una aplicación para un puerto TCP/IP, asegúrese de que la aplicación

sea adecuadamente segura. Debe tener en cuenta que un extraño podría intentaracceder a dicha aplicación a través de dicho puerto. Un usuario conconocimientos puede intentar efectuar TELNET con la aplicación.

v Supervise la utilización de los puertos de TCP/IP del sistema. Una aplicación deusuario asociada a un puerto TCP/IP puede proporcionar una entrada “trasera”al sistema sin necesidad de ID de usuario o de contraseña. Alguien con lasuficiente autoridad en el sistema puede asociar una aplicación con un puertoTCP o UDP.

v Como administrador de seguridad, debe tener en cuenta una técnica llamadasuplantación de IP utilizada por los piratas informáticos. Cada sistema de una redTCP/IP tiene una dirección IP. Alguien que utilice esta técnica prepara unsistema (normalmente un PC) como si fuera una dirección IP existente o unadirección IP de confianza. Así, el impostor puede establecer una conexión con elsistema haciéndose pasar por un sistema con el que la conexión es habitual.Si ejecuta TCP/IP en el sistema y éste participa en una red que no está protegidafísicamente (todas las líneas no conmutadas y los enlaces predefinidos), serávulnerable a la suplantación de IP. Para proteger el sistema del daño causadopor algún “suplantador”, empiece por las sugerencias de este capítulo, talescomo la protección de inicio de sesión y la seguridad de objeto. Debe tambiénasegurarse de que el sistema tenga establecidos límites de almacenamientoauxiliar razonables. Esto evita que quien realiza la suplantación inunde elsistema con correo o archivos en spool hasta que el sistema se vuelvainoperante.Además, debe supervisar regularmente la actividad de TCP/IP en el sistema. Sidetecta la técnica de suplantación de IP, puede intentar descubrir los puntosdébiles de la configuración de TCP/IP y hacer ajustes.

v Para la intranet (red de sistemas que no necesitan conectarse directamente con elexterior), utilice las direcciones IP reutilizables. Las direcciones reutilizables estándestinadas a ser utilizadas en una red privada. La red troncal de Internet nodirecciona los paquetes que tienen una dirección IP reutilizable. Por lo tanto, lasdirecciones reutilizables proporcionan una capa añadida de protección dentro delcortafuegos.En la publicación TCP/IP Configuration and Reference se proporciona másinformación acerca de cómo se asignan las direcciones IP y acerca de los rangosde las direcciones IP.

v Si está pensando en conectar el sistema a Internet o a una intranet, revise lainformación de seguridad de SecureWay: Consejos y herramientas para Internet quese encuentra en el Apéndice A.

v La publicación TCP/IP Configuration and Reference contiene un apéndice queproporciona información de seguridad acerca de TCP/IP. Revise la informaciónen el apéndice.

Control de los servidores TCP/IP que se inicianautomáticamente

Como administrador de seguridad, necesita controlar las aplicaciones TCP/IP quese inician automáticamente al iniciar TCP/IP. Hay dos mandatos disponibles para


iniciar TCP/IP. Para cada mandato, el sistema utiliza un método distinto paradeterminar las aplicaciones (servidores) a iniciar.

En la Tabla 22 se muestran ambos mandatos y las recomendaciones de seguridadcorrespondientes. En la Tabla 23 se muestran los valores de inicio automático paralos servidores. Para cambiar el valor de inicio automático para un servidor, utiliceel mandato CHGxxxA (Cambiar atributos xxx) para el servidor. Por ejemplo, elmandato para TELNET es CHGTELNA.

Tabla 22. Cómo determinan los mandatos de TCP/IP cuáles son los servidores a iniciar

Mandato Servidores que se inician Recomendaciones de seguridad

Iniciar TCP/IP(STRTCP)

El sistema inicia todo servidorque especifiqueAUTOSTART(*YES). La Tabla 23muestra el valor suministradopara cada servidor TCP/IP.

v Asigne la autorización especial *IOSYSCFG con cuidadopara controlar quién puede cambiar los valores de inicioautomático.

v Controle cuidadosamente quién tiene autorización parautilizar el mandato STRTCP. La autorización de uso públicopor omisión para el mandato es *EXCLUDE.

v Establezca la auditoría de objetos para los mandatosCambiar atributos de nombre de servidor (por ejemplo,CHGTELNA) para supervisar los usuarios que intentancambiar el valor AUTOSTART para un servidor.

Iniciar servidorTCP/IP(STRTCPSVR)

Debe utilizarse un parámetropara especificar los servidores ainiciar. El valor por omisión alemitir el mandato supone iniciartodos los servidores.

v Utilice el mandato Cambiar valor por omisión de mandato(CHGCMDDFT) para establecer que el mandatoSTRTCPSVR inicie solamente un servidor determinado.Esto no impide que los usuarios inicien otros servidores.Sin embargo, al cambiar el valor por omisión del mandato,es menos probable que los usuarios inicien todos losservidores accidentalmente. Por ejemplo, utilice el mandatosiguiente para que el valor por omisión suponga iniciarsólo el servidor TELNET: CHGCMDDFT CMD(STRTCPSVR)NEWDFT('SERVER(*TELNET)')Nota: Al cambiar el valor por omisión, puede especificarsolamente un único servidor. Elija un servidor que utilicehabitualmente o un servidor que implique una menorprobabilidad de ser causa de riesgos en la seguridad (comoTFTP).

v Controle cuidadosamente quién tiene autorización parautilizar el mandato STRTCPSVR. La autorización de usopúblico por omisión para el mandato es *EXCLUDE.

Tabla 23. Valores de inicio automático para servidores TCP/IP

Servidor Valor por omisión Su valorDónde encontrar consideraciones deseguridad para el servidor

TELNET AUTOSTART(*YES) “Consejos de seguridad para Telnet”en la página 178

FTP (protocolo detransferencia dearchivos)

AUTOSTART(*YES) “Consejos de seguridad para elprotocolo de transferencia dearchivos” en la página 183

BOOTP (ProtocoloBootstrap)

AUTOSTART(*NO) “Consejos para la seguridad delservidor de Protocolo Bootstrap” en lapágina 186

TFTP (protocolo trivialde transferencia dearchivos)

AUTOSTART(*NO) “Consejos para la seguridad delservidor de Protocolo trivial detransferencia de archivos” en lapágina 189


Tabla 23. Valores de inicio automático para servidores TCP/IP (continuación)

Servidor Valor por omisión Su valorDónde encontrar consideraciones deseguridad para el servidor

REXEC (servidor deEXECution remoto)

AUTOSTART(*NO) “Consejos para la seguridad delServidor de EXECution remoto” en lapágina 191

RouteD (Daemon deruta)

AUTOSTART(*NO) “Consejos de seguridad para elDaemon de ruta” en la página 192

SMTP (protocolo simplede transferencia decorreo)

AUTOSTART(*YES) “Consejos de seguridad para elprotocolo simple de transferencia decorreo” en la página 194

POP (Protocolo deOficina Postal)

AUTOSTART(*NO) “Consejos de seguridad para POP(Protocolo de Oficina Postal)” en lapágina 198

HTTP (Protocolo deTransferencia deHipertexto) 1

AUTOSTART(*NO) “Consejos de seguridad para serviciosWeb desde el iSeries 400” en lapágina 200

ICS (Internet ConnectionServer)1

AUTOSTART(*NO) “Consejos de seguridad para serviciosWeb desde el iSeries 400” en lapágina 200

WSG (WorkstationGateway Server)

AUTOSTART(*NO) “Consejos de seguridad para elWorkstation Gateway Server” en lapágina 212

LPD (daemon deimpresora de líneas)

AUTOSTART(*YES) “Consejos de seguridad para elDaemon de impresora de líneas” enla página 215

SNMP (ProtocoloSimple de Gesti¾n deCorreo (SNMP))

AUTOSTART(*YES) “Consejos de seguridad para elProtocolo simple de gestión de red”en la página 216

DNS (sistema denombres de dominio(DNS))

AUTOSTART(*NO) “Consejos para la seguridad delservidor Sistema de nombres dedominio (DNS)” en la página 193

DDM AUTOSTART(*NO)

DHCP (Protocolo deconfiguración dinámicade sistema principal(DHCP))

AUTOSTART(*NO) “Consejos para la seguridad delservidor Protocolo de ConfiguraciónDinámica de Sistema Principal(DHCP)” en la página 187

NSMI AUTOSTART(*NO)

INETD AUTOSTART(*NO) “Consejos de seguridad para elservidor INETD” en la página 217

Notas:

1. A partir de la V4R1, en IBM HTTP Server para iSeries 400 se utiliza el mandato CHGHTTPA para establecer elvalor AUTOSTART.

Consejos para controlar la utilización de SLIPEl soporte de TCP/IP de iSeries incluye el Protocolo de Línea de Interfaz Serie(SLIP). SLIP proporciona conectividad punto a punto de bajo coste. Un usuario deSLIP puede conectarse a una LAN o a una WAN estableciendo una conexión puntoa punto con un sistema que forme parte de una LAN o una WAN.


SLIP se ejecuta en una conexión asíncrona. Puede utilizar SLIP para efectuarconexiones de marcación a y desde el iSeries.Por ejemplo, puede utilizar SLIP paramarcar desde el PC a un sistema iSeries.Después de establecer la conexión, puedeutilizar la aplicación TELNET en el PC para conectarse al servidor TELNET deliSeries.O puede utilizar la aplicación FTP para transferir archivos entre los dossistemas.

No existe ninguna configuración de SLIP en el sistema cuando se envía. Por lotanto, si no quiere que se ejecute SLIP (y TCP/IP de marcación) en el sistema, noconfigure perfiles para SLIP. Puede utilizar el mandato Trabajar con punto a puntoTCP/IP (WRKTCPPTP) para crear configuraciones de SLIP. Debe tenerautorización especial *IOSYSCFG para utilizar el mandato WRKTCPPTP.

Si quiere que SLIP se ejecute en el sistema, cree uno o varios perfiles deconfiguración SLIP (punto a punto). Puede crear perfiles de configuración con lasmodalidades operativas siguientes:v Marcación de entrada (*ANS)v Marcación de salida (*DIAL)

En los temas siguientes se trata la forma de establecer la seguridad para losperfiles de configuración de SLIP.

Nota: Un perfil de usuario es un objeto de iSeries que permite iniciar lasesión.Cada trabajo de iSeries debe tener un perfil de usuario paraejecutarse.Un perfil de configuración almacena información que se utilizapara establecer una conexión SLIP con un sistema iSeries.Cuando se arrancauna conexión SLIP con el iSeries, simplemente se está estableciendo unenlace.Aún no se ha iniciado la sesión ni se ha arrancado un trabajoiSeries.Por lo tanto no necesita imperativamente un perfil de usuario deiSeries para arrancar una conexión SLIP con el iSeries.Sin embargo, tal comoverá en los comentarios siguientes, el perfil de configuración de SLIP puedenecesitar un perfil de usuario de iSeries para determinar si se permite laconexión.

Control de conexiones de marcación SLIPPara que alguien pueda establecer una conexión de marcación de entrada con elsistema mediante SLIP, debe usted arrancar un perfil de configuración *ANS deSLIP. Para crear o cambiar un perfil de configuración de SLIP, utilice el mandatoTrabajar con punto a punto de TCP/IP (WRKTCPPTP). Para arrancar un perfil deconfiguración, utilice el mandato Arrancar punto a punto de TCP/IP (STRTCPPTP)o una opción de la pantalla WRKTCPPTP. Cuando el sistema se envía, laautorización de uso público para los mandatos STRTCPPTP y ENDTCPPTP es*EXCLUDE. Las opciones añadir, cambiar y suprimir perfiles de configuración deSLIP están disponibles sólo si tiene autorización especial *IOSYSCFG. Comoadministrador de seguridad, puede utilizar la autorización de mandatos, y laautorización especial, para determinar quién puede configurar el sistema parapermitir conexiones de marcación de entrada.

Seguridad de una conexión SLIP de marcación de entradaSi desea validar los sistemas que efectúen una marcación de entrada en el sistema,querrá que el sistema peticionario envíe un ID de usuario y una contraseña. Susistema puede entonces verificar el ID de usuario y la contraseña. Si el ID deusuario y la contraseña no son válidos, el sistema puede rechazar la petición desesión.

Para establecer la validación de la marcación de entrada haga lo siguiente:


__ Paso 1. Cree un perfil de usuario que el sistema peticionario pueda utilizarpara establecer la conexión. El ID de usuario y la contraseña que envíael peticionario deben coincidir con este nombre de perfil y estacontraseña.

Nota: Para que el sistema lleve a cabo la validación de la contraseña elvalor del sistema QSECURITY debe ser 20 o un valor superior.

Como protección adicional, probablemente querrá crear perfiles deusuario específicos para establecer conexiones SLIP. Los perfiles deusuario deben tener autorización limitada sobre el sistema. Si no va autilizar los perfiles para ninguna función excepto para establecerconexiones SLIP, puede establecer los valores siguientes en los perfilesde usuario:v Un menú inicial (INLMNU), *SIGNOFFv Un programa inicial (INLPGM), *NONE.v Limitar posibilidades (LMTCPB), *YES

Estos valores impiden que alguien inicie una sesión interactivamentecon el perfil de usuario.

__ Paso 2. Cree una lista de autorizaciones para que el sistema haga unacomprobación cuando un peticionario intenta establecer una conexiónSLIP.

Nota: Esta lista de autorizaciones se especifica en el campo Lista deautorizaciones de acceso al sistema, al crear o modificar el perfil deSLIP. (Vea el paso 4.)

__ Paso 3. Utilice el mandato Añadir entrada de autorización (ADDAUTLE) paraañadir el perfil de usuario creado en el paso 1 a la lista deautorizaciones. Puede crear una lista de autorizaciones exclusiva paracada perfil de configuración punto a punto, o puede crear una lista deautorizaciones que compartan varios perfiles de configuración.

__ Paso 4. Utilice el mandato WRKTCPPTP para establecer un perfil *ANS puntoa punto de TCP/IP que tenga las características siguientes:v El perfil de configuración debe utilizar un script de diálogo que

incluya la función de validación del usuario. La validación delusuario incluye la aceptación de un ID de usuario y de unacontraseña del peticionario y su validación. El sistema se envía convarios scripts de diálogo de ejemplo que proporcionan esta función.

v El perfil de configuración debe especificar el nombre de la lista deautorizaciones creada en el paso 2. El ID de usuario que recibe elscript de diálogo de conexión debe estar en la lista deautorizaciones.

Tenga en cuenta que el valor de configuración de la seguridad de marcación se veafectado por las posibilidades y las prácticas de seguridad de los sistemas queefectúan la marcación de entrada. Si necesita un ID de usuario y una contraseña, elscript de diálogo de conexión del sistema peticionario debe enviar el ID de usuarioy la contraseña. Algunos sistemas, como el iSeries, proporcionan un método deseguridad para almacenar los ID de usuario y las contraseñas.(Este método sedescribe en el apartado “Seguridad y sesiones de marcación” en la página 175).Otros sistemas almacenan el ID de usuario y la contraseña en un script que puedeser accesible a cualquiera que sepa donde encontrarlo en el sistema.


Debido a las diferentes posibilidades y prácticas en materia de seguridad de loscomunicantes, querrá crear diferentes perfiles de configuración para diferentesentornos de petición. Puede utilizar el mandato STRTCPPTP para configurar elsistema para aceptar una sesión para un perfil de configuración específico. Paraalgunos perfiles de configuración puede arrancar sesiones sólo en determinadosmomentos del día, por ejemplo. Puede utilizar la auditoría de seguridad parallevar un registro de anotaciones cronológicas de la actividad de los perfiles deusuario asociados.

Cómo evitar que los usuarios de marcación accedan a otrossistemasDependiendo del sistema y de la configuración de red, un usuario que arranqueuna conexión SLIP puede ser capaz de acceder a otro sistema en la red sin iniciarla sesión en el sistema. Por ejemplo, un usuario podría establecer una conexiónSLIP con el sistema. A continuación, el usuario podría establecer una conexión FTPcon otro sistema de la red que no permita entrar por una línea telefónica.

Puede evitar que un usuario SLIP acceda a otros sistemas de la red especificandoN (No) para el campo Permitir reenvío de datagramas IP en el perfil deconfiguración. Esto impide que un usuario acceda a la red antes de que iniciesesión en su sistema. Sin embargo, una vez que el usuario haya iniciado la sesiónde forma satisfactoria en el sistema, el valor de reenvío de datagramas no tieneefecto. No limita la capacidad del usuario para utilizar una aplicación TCP/IP enel sistema iSeries (por ejemplo, FTP o TELNET), para establecer una conexión conotro sistema de la red.

Control de las sesiones de marcaciónAntes de que alguien pueda utilizar SLIP para establecer una conexión demarcación de salida desde el sistema, debe arrancar un perfil de configuración*DIAL de SLIP. Para crear o cambiar un perfil de configuración SLIP, utilice elmandato WRKTCPPTP. Para arrancar un perfil de configuración, utilice el mandatoArrancar punto a punto de TCP/IP (STRTCPPTP) o una opción de la pantallaWRKTCPPTP. Cuando el sistema se envía, la autorización de uso público para losmandatos STRTCPPTP y ENDTCPPTP es *EXCLUDE. Las opciones añadir, cambiary suprimir perfiles de configuración de SLIP están disponibles sólo si tieneautorización especial *IOSYSCFG. Como administrador de seguridad, puedeutilizar la autorización de mandatos y la autorización especial para determinarquién puede configurar el sistema para permitir conexiones de marcación desalida.

Seguridad y sesiones de marcaciónLos usuarios del sistema iSeries querrán establecer conexiones de marcación consistemas que requieran validación de usuario. El script de diálogo de conexión enel sistema iSeries debe enviar un ID de usuario y una contraseña al sistemaremoto. El iSeries proporciona un método de seguridad para almacenar lacontraseña.No es necesario almacenar la contraseña en el script de diálogo deconexión.

Notas:

1. A pesar de que el sistema almacena la contraseña de conexión de forma cifrada,el sistema la descifra antes de enviarla. Las contraseñas de SLIP, igual que lascontraseñas de FTP y TELNET, se envían descifradas. Sin embargo, al contrarioque con FTP y TELNET, la contraseña SLIP se envía antes de que los sistemasestablezcan la modalidad TCP/IP.Puesto que SLIP utiliza una conexión punto a punto en la modalidad asíncrona,el riesgo en la seguridad al enviar contraseñas no cifradas es distinto del riesgo


con las contraseñas FTP y TELNET. Las contraseñas no cifradas de FTP yTELNET pueden enviarse como tráfico IP en una red y son, por tanto,vulnerables a la búsqueda electrónica. La transmisión de la contraseña SLIP estan segura como lo sea la conexión telefónica entre ambos sistemas.

2. El archivo por omisión para almacenar los scripts de diálogo de conexión SLIPes QUSRSYS/QATOCPPSCR. La autorización de uso público para este archivoes *USE, lo que evita que los usuarios públicos cambien los scripts de diálogode conexión por omisión.

Cuando crea un perfil de conexión para una sesión remota que necesite validación,haga lo siguiente:__ Paso 1. Asegúrese de que el valor del sistema Retener datos de seguridad del

servidor (QRETSVRSEC) es 1 (Sí). Este valor del sistema determina sipermitirá que las contraseñas que pueden descifrarse se almacenen enun área protegida de su sistema.

__ Paso 2. Utilice el mandato WRKTCPPTP para crear un perfil de configuraciónque tenga las características siguientes:v Para la modalidad del perfil de configuración, especifique *DIAL.v Para el Nombre de acceso de servicio remoto, especifique el ID de

usuario que el sistema remoto espera. Por ejemplo, si va aconectarse con otro iSeries, especifique el nombre del perfil deusuario en el iSeries.

v Para la Contraseña de acceso de servicio remoto, especifique lacontraseña que el sistema remoto espera para este ID de usuario. Enel iSeries, esta contraseña se almacena en un área protegida en unformato que puede descifrarse.Los nombres y las contraseñas queasigna a los perfiles de configuración están asociados con el perfil deusuario de QTCP. Los nombres y las contraseñas no son accesiblescon ninguna interfaz o mandato de usuario. Sólo los programasregistrados del sistema pueden acceder a esta información decontraseña.

Nota: Tenga en cuenta que las contraseñas para sus perfiles deconexión no se salvan al salvar los archivos de configuraciónde TCP/IP. Para salvar las contraseñas SLIP, necesita utilizarel mandato Salvar datos de seguridad (SAVSECDTA) parasalvar el perfil de usuario QTCP.

v Para el script de diálogo de conexión, especifique un script queenvíe el ID de usuario y la contraseña. El sistema se envía convarios scripts de diálogo de ejemplo que proporcionan esta función.Cuando el sistema ejecuta el script, recupera la contraseña, ladescifra y la envía al sistema remoto.

Consideraciones de seguridad para el protocolo PPP (punto a punto)A partir de la V4R2, el protocolo PPP (punto a punto) está disponible como partede TCP/IP. PPP es un estándar comercial para las conexiones punto a punto queproporciona funciones adicionales sobre lo que está disponible con SLIP.

Con PPP, el iSeries puede tener conexiones de alta velocidad directamente con unproveedor de servicios de Internet o con otros sistemas de una intranet o unaextranet.Las LAN remotas pueden realmente conectarse mediante marcación aliSeries.


Recuerde que PPP, al igual que SLIP, proporciona una conexión de red para eliSeries.Esencialmente, una conexión PPP trae al peticionario a la puerta delsistema. El peticionario sigue necesitando un ID de usuario y una contraseña paraentrar en el sistema y conectarse a un servidor TCP/IP como TELNET o FTP. Acontinuación se proporcionan algunas consideraciones de seguridad con esta nuevaposibilidad de conexión:

Nota: Puede configurar PPP utilizando Operations Navigator o una estación detrabajo Client Access AS/400 para Windows 95/NT.

v PPP proporciona la posibilidad de tener conexiones dedicadas (en las que elmismo usuario tiene siempre la misma dirección IP). Con una direccióndedicada, tiene el potencial para suplantación de IP (un sistema impostor quepretende hacerse pasar por un sistema de confianza con una dirección IPconocida). Sin embargo, las posibilidades de autenticación mejoradas queproporciona PPP ayudan en la protección contra la suplantación de IP.

v Con PPP, al igual que con SLIP, puede crear perfiles de conexión que tienen unnombre de usuario y una contraseña asociada. No obstante, al contrario que conSLIP, el usuario no necesita tener un perfil de usuario y contraseña de iSeries400 válidos. El nombre de usuario y la contraseña no están asociados con unperfil de usuario de iSeries 400, sino que se utilizan listas de validación para laautenticación de PPP. Además, PPP no requiere un script de conexión. Laautenticación (intercambio de nombre de usuario y contraseña) es parte de laarquitectura PPP y transcurre a un nivel más bajo que en el caso de SLIP.

v Con PPP tiene la opción de utilizar CHAP (challenge handshake authenticationprotocol). Ya no necesitará preocuparse acerca de si existen escuchas ocultas enbusca de contraseñas porque CHAP cifra los nombres de usuario y lascontraseñas.La conexión PPP utiliza CHAP solamente si ambas partes tienen soporte CHAP.Durante las señales de intercambio para establecer las comunicaciones entre dosmódems, los dos sistemas negocian. Por ejemplo, si SYSTEMA soporta CHAP ySYSTEMB no, SYSTEMA puede denegar la sesión o avenirse a utilizar unnombre de usuario y una contraseña no cifrados. Aceptar la utilización de unnombre de usuario y de una contraseña no cifrados significa negociar a la baja.La decisión de negociar a la baja es una opción de configuración. En la intranet,por ejemplo, donde sabe que todos los sistemas tienen posibilidad CHAP, debeconfigurar el perfil de conexión de forma que no negocie a la baja. En unaconexión de uso público donde el sistema está marcando fuera, puede serdeseable negociar a la baja.El perfil de conexión para PPP proporciona la posibilidad de especificardirecciones IP válidas. Puede, por ejemplo, indicar que espera una dirección oun rango de direcciones específicos para un usuario determinado. Estaposibilidad, conjuntamente con la capacidad para contraseñas cifradas,proporciona una mayor protección contra la suplantación.Como protección adicional contra la suplantación o el parasitismo en una sesiónactiva, puede configurar PPP para que pida confirmación a intervalosestablecidos. Por ejemplo, mientras una sesión PPP está activa, el iSeries puedepedir al otro sistema un usuario y una contraseña. Esto lo hace cada 15 minutospara asegurarse de que se trata del mismo perfil de conexión. (El usuario finalno se dará cuenta de la existencia de esta actividad de confirmación. Lossistemas intercambian los nombres y las contraseñas por debajo del nivel que veel usuario final.)Con PPP, es realista esperar que las LAN remotas puedan establecer unaconexión por marcación con el iSeries y con la red ampliada.En este entorno,probablemente sea un requisito tener activado el reenvío de IP. El reenvío de IP


tiene el potencial para permitir a un intruso vagar por la red. Sin embargo, PPPtiene protecciones más potentes (como el cifrado de contraseñas y la validaciónde la dirección IP). Esto convierte en menos probable el que un intruso puedaestablecer una conexión de red en primer lugar.

Para obtener más información acerca de PPP, consulte la publicación TCP/IPConfiguration and Reference.

Consejos de seguridad para TelnetTELNET proporciona una sesión interactiva en el sistema. El sistema presenta lapantalla de inicio de sesión a cualquiera que intente entrar en el sistema utilizandoTELNET. TELNET necesita una contraseña si el sistema funciona con un nivel deseguridad de 20 o uno mayor.

Nota: Cuando tenga Estaciones de red conectadas a su iSeries, debe tener TELNETen ejecución. Las Estaciones de red utilizan TN5250E (TELNET) para lassesiones de iSeries.

Consejos para evitar el acceso de TelnetSi no quiere que nadie utilice TELNET para acceder al sistema, debe evitar elfuncionamiento del servidor TELNET. Haga lo siguiente:__ Paso 1. Para evitar que los trabajos del servidor TELNET se arranquen

automáticamente al arrancar TCP/IP, teclee lo siguiente:CHGTELNA AUTOSTART(*NO)

Notas:

a. AUTOSTART(*YES) es el valor por omisión.b. “Control de los servidores TCP/IP que se inician automáticamente”

en la página 170 proporciona más información acerca del controlde los servidores TCP/IP que se inician automáticamente.

__ Paso 2. Para evitar que alguien asocie una aplicación de usuario, tal como unaaplicación socket, con el puerto que el sistema utiliza normalmentepara TELNET, haga lo siguiente:__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar

TCP/IP.__ Paso b. Seleccione la opción 4 (Trabajar con restricciones de puerto

TCP/IP).__ Paso c. En la pantalla Trabajar con restricciones de puerto TCP/IP,

especifique la opción 1 (Añadir).__ Paso d. Para el rango del puerto más bajo, especifique 23 (para

TELNET no SSL) o 992 (para TELNET SSL).

Nota: Estos números de puerto están especificados en latabla Trabajar con entradas de tabla de servicios(WRKSRVTBLE) bajo ″telnet″ y ″telnet-ssl″. Puedencorrelacionarse con puertos que no sean 23 y 992.

__ Paso e. Para el rango del puerto más alto, especifique *ONLY.

Notas:

1) La restricción de puertos entra en vigor cuando sevuelve a arrancar TCP/IP. Si TCP/IP está activocuando se establecen las restricciones de puertos, debefinalizar TCP/IP y arrancarlo de nuevo.


|||

2) RFC1700 proporciona información sobre lasasignaciones de números de puerto comunes.

__ Paso f. Para el protocolo, especifique *TCP.__ Paso g. Para el campo de perfil de usuario, especifique un nombre

de perfil de usuario protegido en el sistema. (Los perfilesde usuario protegidos no son propietarios de programasque adoptan autorización y no tienen contraseñasconocidas por otros usuarios.) Restringiendo el puerto aun usuario específico, excluye automáticamente a todos losdemás usuarios. Si el puerto está restringido al perfilQTCP, los servidores TELNET pueden ejecutarse. Si estárestringido a un perfil que no sea QTCP, los servidoresTELNET no podrán utilizar ese puerto.

Nota: Si desea impedir el acceso tanto a TELNET no SSL como aTELNET SSL, repita el paso 2 en la página 178 y especifique elotro puerto en la parte 2d en la página 178.

Consejos para controlar el acceso de TelnetA continuación se proporcionan consideraciones y sugerencias sobre el acceso declientes TELNET al sistema:

Autenticación de cliente: A partir de la V4R4 (habilitado para PTF), el servidorTELNET soporta la autenticación de cliente, además de la autenticación deservidor SSL soportada actualmente. Cuando está habilitado, el servidor TELNETde iSeries autentica los certificados de servidor y de cliente cuando los clientes deTELNET se conectan al puerto SSL TELNET. Los clientes de TELNET que noenvíen un certificado de cliente válido cuando intenten conectarse al puerto SSLTELNET, no podrán establecer una sesión de pantalla o impresora. Encontrará másinformación en http://www.as400.ibm.com/tcpip/telnet/ssl.htm.

Protección de contraseñas: Las contraseñas de TELNET no están cifradas cuandose envían entre el cliente tradicional y el servidor. Dependiendo de los métodos deconexión, el sistema puede ser vulnerable al robo de contraseñas mediante el″husmeo de la línea″. Las contraseñas de Telnet estarán cifradas si se utilizannegociaciones TN5250E para intercambiar una contraseña cifrada. En tal caso,puede saltarse el panel de inicio de sesión y no se enviará por la red ningunacontraseña de ″texto claro″. Solamente se cifra la contraseña con TN5250E, SSL esnecesario para cifrar todo el tráfico.

Nota: La supervisión de una línea utilizando equipo electrónico se denomina amenudo husmear (sniffing).

Sin embargo, si utiliza el servidor TELNET SSL (nuevo en la V4R4) y un cliente deTELNET habilitado para SSL, todas las transacciones, incluidas las contraseñas,estarán cifradas y protegidas. El puerto SSL de TELNET está definido en la entradaWRKSRVTBLE bajo ″telnet-ssl″.

Limitación del número de intentos de inicio de sesión: A pesar de que el valordel sistema QMAXSIGN se aplica a TELNET, se reduce la efectividad de este valordel sistema si se configura el sistema para configurar dispositivos virtualesautomáticamente. Cuando el valor del sistema QAUTOVRT tiene un valor mayorque 0, el usuario de TELNET no satisfactorio puede volver a conectarse a undispositivo virtual de creación reciente. Esto puede continuar hasta que seproduzca una de las situaciones siguientes:


|

v Todos los dispositivos virtuales están inhabilitados y el sistema haya excedido ellímite para crear nuevos dispositivos virtuales.

v Todos los perfiles de usuario están inhabilitados.v El pirata informático consigue iniciar la sesión en el sistema.

La configuración automática de dispositivos virtuales multiplica el número deintentos TELNET disponibles.

Nota: Para facilitar el control de dispositivos virtuales, podrá establecer un valorpara el valor del sistema QAUTOVRT que sea mayor que 0 durante unbreve período de tiempo. Utilice TELNET para forzar al sistema a creardispositivos o espere hasta que otros usuarios hayan originado que elsistema cree dispositivos virtuales suficientes. A continuación establezca en 0el valor del sistema QAUTOVRT.

Las mejoras de TELNET de la V4R2 proporcionan una opción para limitar elnúmero de veces que un pirata puede intentar entrar en el sistema. Puede crear unprograma de salida que llame el sistema siempre que un cliente intente iniciar unasesión TELNET. El programa de salida recibe la dirección IP del peticionario. Si elprograma observa una serie de peticiones de la misma dirección IP en un breveperíodo de tiempo, el programa puede actuar denegando posteriores peticiones dela dirección y enviando un mensaje a la cola de mensajes QSYSOPR. El apartado“Visión general de las posibilidades del programa de salida TELNET” en lapágina 182 proporciona una visión general de las posibilidades del programa desalida de TELNET.

Nota: De forma alternativa también puede utilizar el programa de salida deTELNET para proporcionar un registro cronológico. En lugar de dejar que elprograma tome decisiones acerca de los intentos de irrupción potenciales,puede utilizar el registro cronológico para supervisar los intentos de iniciarsesiones TELNET.

Finalización de sesiones inactivas: Puede utilizar el parámetro Tiempo de espera deinactividad (INACTTIMO) en la configuración TELNET para reducir posiblesconflictos cuando el usuario deja una sesión TELNET desatendida. Lea ladocumentación o la ayuda en línea para comprender el funcionamiento en comúndel parámetro INACTTIMO y del temporizador de conexión (para el arranque delservidor).

Nota: No se proporciona soporte para INACTTIMO a partir de la V4R4. Se haeliminado este parámetro del panel CHGTELNA.

A partir de la V4R3, las sesiones TELNET se incluyen en el proceso QINACTITVdel sistema. El valor del sistema QINACTMSGQ define la acción para las sesionesTELNET interactivas que estén inactivas cuando expire el intervalo de tiempo deespera del trabajo inactivo. Si el valor QINACTMSGQ especifica que el trabajodebería desconectarse, la sesión deberá soportar la función de trabajodesconectado. De lo contrario, el trabajo finalizará en lugar de desconectarse.

Las sesiones TELNET que continúen utilizando descripciones de dispositivodenominadas QPDEVxxxx no permitirán a los usuarios desconectarse de esostrabajos. La desconexión de dichos trabajos no se permite, ya que la descripción dedispositivo con la que el usuario se vuelve a conectar es impredecible. Ladesconexión de un trabajo requiere la misma descripción de dispositivo cuando elusuario vuelve a conectar con el trabajo. El tiempo de espera de trabajo inactivo se


soporta en todos los tipos de TELNET, incluyendo TCP/IP TELNET, IPX TELNET,y Workstation Gateway. Si está utilizando el parámetro INACTTIMO o TELNETpara definir el tiempo de espera de las sesiones, deberá cambiar y utilizar el valordel sistema QINACTITV. Workstation Gateway utiliza un temporizadorindependiente en el valor INACTTIMO que funciona además del valorQINACTITV. Cualquiera de estos dos valores puede desencadenar un tiempo deespera de sesión excedido en Workstation Gateway.

Restricción de perfiles de usuario potentes: Puede utilizar el valor del sistemaQLMTSECOFR para restringir los usuarios con autorización especial *ALLOBJ o*SERVICE. El usuario o QSECOFR debe tener autorización explícita sobre undispositivo para iniciar la sesión. De este modo, puede evitar que alguien conautorización especial *ALLOBJ utilice TELNET para acceder al sistema,asegurándose de que QSECOFR no tiene autorización sobre ningún dispositivovirtual.

En lugar de evitar a los usuarios de TELNET que tengan autorización especial*ALLOBJ, puede restringir a los usuarios potentes de TELNET por ubicación. Conel punto de salida de iniciación de TELNET en la V4R2 puede crear un programade salida que asigne una descripción de dispositivo de iSeries específica a unapetición de sesión basándose en la dirección IP del peticionario.

Control de la función por ubicación: Es posible que desee controlar qué funcionespermite o qué menú ve el usuario basándose en la ubicación en la que se origina lapetición TELNET. La API (interfaz de programación de aplicaciones) QDCRDEVDproporciona acceso a la dirección IP del peticionario. A continuación seproporcionan algunas sugerencias para utilizar este soporte:v Para la V4R1, podría utilizar la API en un programa inicial para todos los

usuarios (si la actividad de TELNET es significativa en su entorno). Basándoseen la dirección IP del usuario que solicita el inicio de sesión, puede establecer elmenú para el usuario o incluso cambiar a un perfil de usuario específico.

v A partir de la V4R2, puede utilizar el programa de salida de TELNET paratomar decisiones basándose en la dirección IP del peticionario. Esto elimina lanecesidad de definir un programa inicial en cada perfil de usuario. Puede, porejemplo, establecer el menú inicial del usuario, establecer el programa inicialpara el usuario o especificar bajo qué perfil de usuario se ejecutará la sesiónTELNET.

Nota: Además, teniendo acceso a la dirección IP del usuario, puede proporcionarimpresión dinámica en una impresora asociada a la dirección IP del usuario.La API QDCRDEVD también devolverá direcciones IP para impresoras, asícomo para pantallas. Seleccione el formato DEVD1100 para impresoras yDEVD0600 para pantallas.

Control del inicio de sesión automático: A partir de la V4R2, TELNET permite aun usuario de Client Access pasar por alto la pantalla Inicio de sesión enviando unnombre de perfil de usuario y una contraseña con la petición de sesión TELNET. Elsistema utiliza el valor del sistema QRMTSIGN (Inicio de sesión remoto) paradeterminar cómo se manejan las peticiones de inicio de sesión automático. En laTabla 24 en la página 182 se muestran las opciones. Estas opciones se aplicansolamente cuando la petición TELNET incluye un ID de usuario y una contraseña.


Tabla 24. Funcionamiento de QRMTSIGN con TELNET

*REJECT No se permite que las sesiones TELNET soliciten el inicio desesión automático

*VERIFY Si la combinación de perfil de usuario y contraseña es válida, seinicia la sesión TELNET.1

*SAMEPRF Si la combinación de perfil de usuario y contraseña es válida, seinicia la sesión TELNET.1

*FRCSIGNON El sistema ignora el perfil de usuario y la contraseña. El usuariove la pantalla Inicio de sesión.

Notas:

1. Esta validación se produce antes de que se ejecute el programa de salida TELNET. Elprograma de salida recibe una indicación acerca de si la validación ha sido satisfactoriao insatisfactoria. El programa de salida todavía puede permitir o denegar la sesión,independientemente del indicador. La indicación tiene uno de los valores siguientes:v Valor = 0, Contraseña de cliente no validada (o no se ha recibido una contraseña).v Valor = 1, Contraseña de cliente en texto claro validadav Valor = 2, Contraseña de cliente cifrada validada

Nota: Un programa de salida de TELNET puede alterar temporalmente el valor deQRMTSIGN eligiendo si permite o no el inicio de sesión automático para unpeticionario (probablemente basándose en la dirección IP).

Permitir inicio de sesión anónimo: A partir de la V4R2, puede utilizar losprogramas de salida de TELNET para proporcionar TELNET ″anónimos″ o″invitados″ en el sistema. Con el programa de salida, puede detectar la dirección IPdel peticionario. Si la dirección IP proviene de fuera de la organización, puedeasignar la sesión TELNET a un perfil de usuario que tenga autorización limitadasobre el sistema y un menú específico. Puede ignorar la pantalla Inicio de sesiónde forma que el visitante no tenga oportunidad de utilizar otro perfil de usuariomás potente. Con esta opción el usuario no necesita proporcionar un ID de usuarioy una contraseña.

Visión general de las posibilidades del programa de salidaTELNETA partir de la V4R2, puede registrar programas de salida escritos por el usuarioque se ejecuten al iniciarse una sesión de TELNET y al finalizar. A continuación seofrecen ejemplos de lo que puede hacer al iniciar el programa de salida:v Si está en la V4R4 y ha instalado los PTF mencionados anteriormente, puede

utilizar la nueva Dirección IP de servidor (local) en servidores iSeries 400multiubicación para direccionar conexiones a distintos subsistemas basados en lainterfaz de red (dirección IP).

v Permitir o denegar la sesión, basándose en criterios conocidos, tales como ladirección IP del usuario, la hora del día y el perfil de usuario solicitado.

v Asignar una descripción de dispositivo iSeries para la sesión. Esto permitedireccionar el trabajo interactivo a cualquier subsistema configurado para recibirdichos dispositivos.

v Asignar valores de Idioma nacional específicos para la sesión, tales como elteclado y el juego de caracteres.

v Asignar un perfil de usuario específico para la sesión.v Conectar al solicitante automáticamente (sin mostrar una pantalla de Inicio de

sesión).v Establecer el registro cronológico de auditoría para la sesión.


Para obtener más información sobre los programas de salida TELNET, vea elApéndice E, Puntos y programas de salida de aplicaciones TCP/IP, en lapublicación TCP/IP Configuration and Reference. Puede encontrar un programa deejemplo en la ubicación Web siguiente:http://www.as400.ibm.com/tstudio/tech_ref/tcp/indexfr.htm

o vaya al Information Center, seleccione Redes —> TCP/IP –> Servicios yaplicaciones TCP/IP —> Telnet —> programas de salida ejemplo de Telnet.

Consejos de seguridad para el protocolo de transferencia de archivosFTP (protocolo de transferencia de archivos) ofrece la posibilidad de transferirarchivos entre el cliente (un usuario en otro sistema) y el servidor (su sistema).También puede utilizar la posibilidad de mandato remoto de FTP para sometermandatos al sistema servidor.

FTP requiere un ID de usuario y una contraseña. Sin embargo, puede utilizar lospuntos de salida del Servidor FTP para proporcionar una función FTP anónimopara los usuarios invitados (los usuarios que no tienen ID de usuario ni contraseñaen el sistema). Para un FTP anónimo seguro, debe escribir programas de salidapara los puntos de salida Inicio de sesión de Servidor FTP y Validación de peticiónde Servidor FTP.

Consejos para evitar el acceso de FTPSi no quiere que nadie utilice FTP para acceder al sistema, debe evitar elfuncionamiento del servidor FTP. Haga lo siguiente:__ Paso 1. Para evitar el arranque automático de los trabajos del servidor FTP al

arrancar TCP/IP, teclee lo siguiente:CHGFTPA AUTOSTART(*NO)

Notas:



__ Paso 2. Para evitar que alguien asocie una aplicación de usuario, tal como unaaplicación socket, con el puerto que el sistema utiliza normalmentepara FTP, haga lo siguiente:__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar



especifique la opción 1 (Añadir).__ Paso d. Para el rango del puerto más bajo, especifique 20.__ Paso e. Para el rango del puerto más alto, especifique 21.__ Paso f. Para el protocolo, especifique *TCP.__ Paso g. Para el campo de perfil de usuario, especifique un nombre

de perfil de usuario protegido en el sistema. (Los perfilesde usuario protegidos no son propietarios de programasque adoptan autorización y no tienen contraseñas


conocidas por otros usuarios.) Restringiendo el puerto aun usuario específico, excluye automáticamente a todos losdemás usuarios.

Notas:

a. La restricción de puertos entra en vigor cuando se vuelve aarrancar TCP/IP. Si TCP/IP está activo cuando se establecen lasrestricciones de puertos, debe finalizar TCP/IP y arrancarlo denuevo.

b. RFC1700 proporciona información sobre los números de puertoasignados.

c. Si los puertos 20 o 21 están restringidos a un perfil de usuario queno sea QTCP, un intento de iniciar el servidor FTP hará que finalicede inmediato con errores.

d. Este método sólo funciona para restringir completamente unaaplicación, como el servidor FTP. No funciona para restringirusuarios específicos. Cuando un usuario se conecta al servidor FTP,la petición utiliza inicialmente el perfil QTCP. El sistema utiliza elperfil de usuario individual una vez que la conexión essatisfactoria. Cada usuario del servidor FTP utiliza la autorizaciónde QTCP’ para puerto.

Consejos para controlar el acceso de FTPSi quiere permitir que los clientes de FTP accedan a su sistema, tenga en cuenta lassiguientes cuestiones de seguridad:v Probablemente el esquema de autorización de objetos no proporcionará una

protección suficientemente detallada al permitir FTP en el sistema. Por ejemplo,cuando un usuario tiene la autorización para ver un archivo (autorización *USE),el usuario puede también copiar el archivo a un PC o a otro sistema.Probablemente querrá proteger algunos archivos para que no se copien a otrosistema.Puede utilizar los programas de salida de FTP para restringir las operaciones deFTP que pueden llevar a cabo los usuarios. Puede utilizar la Salida de validaciónde petición FTP para controlar las operaciones que permite. Por ejemplo, puederechazar peticiones GET para archivos de base de datos específicos. Puedeutilizar la Salida de inicio de sesión del servidor FTP para autenticar losusuarios que inicien la sesión en el servidor FTP. El apartado “TCP/IP UserExits” de la publicación TCP/IP Configuration and Reference describe este punto desalida y proporciona programas de ejemplo.El apéndice “TCP/IP User Exits” del manual TCP/IP Configuration and Referencetambién describe cómo utilizar programas de salida para poner a punto elsoporte para FTP anónimo en el sistema.

v Las contraseñas de FTP no están cifradas cuando se envían entre el sistemacliente y el sistema servidor. Dependiendo de los métodos de conexión, elsistema será vulnerable al robo de contraseñas mediante el husmeo de la línea.

v Si el valor del sistema QMAXSGNACN se establece en 1, el valor del sistemaQMAXSIGN es aplicable a TELNET pero no a FTP. Si QMAXSGNACN seestablece en 2 o 3 (valores que inhabilitan el perfil si se alcanza el númeromáximo de inicios de sesión), se cuentan los intentos de inicio de sesión de FTP.En este caso, un pirata puede montar un ataque de ″denegación de servicio″ através de FTP intentando repetidamente iniciar la sesión con una contraseñaincorrecta hasta que se inhabilite el perfil de usuario.


Para cada intento no satisfactorio, el sistema anota el mensaje CPF2234 en lasanotaciones cronológicas QHST. Puede escribir un programa para supervisar lasanotaciones cronológicas QHST para el mensaje. Si el programa detecta intentosrepetidos, puede finalizar los servidores FTP.

v Puede utilizar el parámetro Tiempo de espera de inactividad (INACTTIMO) en laconfiguración FTP para reducir posibles conflictos cuando el usuario deja unasesión FTP desatendida. Lea la documentación o la ayuda en línea paracomprender el funcionamiento en común del parámetro INACTTIMO y deltemporizador de conexión (para el arranque del servidor).

Nota: El valor del sistema QINACTITV no influye en las sesiones FTP.v La publicación TCP/IP Configuration and Reference describe cómo utilizar el

soporte de proceso por lotes FTP para, por ejemplo, enviar archivos por la nocheentre sistemas. Cuando utiliza el soporte de proceso por lotes de FTP, elprograma debe enviar el ID de usuario y la contraseña al sistema servidor. Obien el ID de usuario y la contraseña deben estar codificados en el programa oel programa debe recuperarlos de un archivo. Ambas opciones para almacenarcontraseñas e ID de usuario representan un riesgo potencial para la seguridad. Siutiliza el proceso por lotes de FTP, debe asegurarse de que utiliza la seguridadde objetos para proteger la información del ID de usuario y de la contraseña.También debe utilizar un sólo ID de usuario que tenga una autoridad muylimitada sobre el sistema destino. Únicamente debe tener autorización suficientepara realizar la función deseada, como puede ser la transferencia de archivos.

v FTP proporciona la posibilidad de mandato remoto, al igual que lascomunicaciones avanzadas programa a programa (APPC) y Client Access. Elsubmandato del servidor FTP RCMD (Mandato remoto) equivale a tener unalínea de mandatos en el sistema. Antes de permitir FTP, asegúrese de quedispone del esquema de la seguridad de objetos adecuado. También puedeutilizar el programa de salida de FTP para limitar o rechazar los intentos deutilizar el submandato RCMD. El apartado “TCP/IP User Exits” de lapublicación TCP/IP Configuration and Reference describe este punto de salida yproporciona programas de ejemplo.

v A partir de la V3R2 y V3R7, un usuario puede acceder a los objetos del sistemade archivos integrado con FTP. Por lo tanto, es necesario asegurarse de que elesquema de autorización para el sistema de archivos integrado es el adecuadocuando se ejecuta el servidor FTP en el sistema. El “Capítulo 12. Utilización delSistema de Archivos Integrado (IFS) para proteger los archivos” en la página 133proporciona sugerencias para la seguridad del sistema de archivos integrado.

v Una actividad habitual de los piratas consiste en utilizar una ubicación queignora que está siendo utilizada como depósito de información. A veces, lainformación puede ser ilegal o pornográfica. Si un pirata consigue acceder a suubicación a través de FTP, el pirata transfiere esta información indeseable alsistema. El pirata comunica entonces a otros piratas la dirección del sistema.Estos accederán entonces al sistema mediante FTP y bajarán la informaciónindeseable.Puede utilizar los programas de salida de FTP como ayuda para protegersefrente a estos ataques. Por ejemplo, puede dirigir todas las peticiones para subirinformación a un directorio que sea de sólo grabación. Esto destruye el objetivodel pirata porque los otros piratas ya no podrán bajar la información deldirectorio. AS/400 Internet Security: Protecting Your AS/400 from HARM on theInternet se proporciona más información acerca de los riesgos de permitir subirinformación mediante FTP y de las posibles soluciones.


Consejos para la seguridad del servidor de Protocolo BootstrapEl Protocolo Bootstrap (BOOTP) proporciona un método dinámico para asociarestaciones de trabajo a servidores y para asignar direcciones IP de estación detrabajo y recursos de carga del programa inicial (IPL). BOOTP y el protocolo trivialde transferencia de archivos (TFTP) proporcionan soporte para el IBM NetworkStation para AS/400.

BOOTP es un protocolo TCP/IP que se utiliza para permitir que una estación detrabajo sin ningún tipo de soporte de almacenamiento (cliente) solicite un archivoque contenga un código inicial de un servidor de la red. El servidor BOOTPescucha al puerto 67 del servidor BOOTP. Al recibir una petición de un cliente, elservidor busca la dirección IP definida para el cliente y le devuelve una respuestacon la dirección IP del cliente y el nombre del archivo de carga. A continuación, elcliente inicia una petición TFTP al servidor solicitando el archivo de carga. Lacorrelación entre la dirección IP y la dirección de hardware del cliente se mantieneen la tabla BOOTP del iSeries.

Consejos para evitar el acceso BOOTPSi no tiene ninguna Network Station conectada a su iSeries, no necesita ejecutar elservidor BOOTP en su sistema.Puede utilizarse para otros dispositivos, pero lasolución preferida para esos dispositivos es utilizar DHCP. Para evitar que seejecute el servidor BOOTP, haga lo siguiente:__ Paso 1. Para evitar que los trabajos del servidor BOOTP se inicien

automáticamente al arrancar TCP/IP, teclee lo siguiente:CHGBPA AUTOSTART(*NO)

Notas:

a. AUTOSTART(*NO) es el valor por omisión.b. “Control de los servidores TCP/IP que se inician automáticamente”


__ Paso 2. Para evitar que alguien asocie una aplicación de usuario, tal como unaaplicación socket, con el puerto que el sistema utiliza normalmentepara BOOTP, haga lo siguiente:

Nota: Dado que DHCP y BOOTP utilizan el mismo número de puerto,esto también inhibirá el puerto que DHCP utiliza. No deberestringir el puerto si desea utilizar DHCP.

__ Paso a. Teclee GO CFGTCP para visualizar el menú ConfigurarTCP/IP.

__ Paso b. Seleccione la opción 4 (Trabajar con restricciones de puertoTCP/IP).

__ Paso c. En la pantalla Trabajar con restricciones de puerto TCP/IP,especifique la opción 1 (Añadir).

__ Paso d. Para el rango del puerto más bajo, especifique 67.__ Paso e. Para el rango del puerto más alto, especifique *ONLY.

Notas:




__ Paso f. Para el protocolo, especifique *UCD.__ Paso g. Para el campo de perfil de usuario, especifique un nombre

de perfil de usuario protegido en el sistema. (Los perfilesde usuario protegidos no son propietarios de programasque adoptan autorización y no tienen contraseñasconocidas por otros usuarios.) Restringiendo el puerto aun usuario específico, excluye automáticamente a todos losdemás usuarios.

Consejos para la seguridad del servidor BOOTPEl servidor BOOTP no proporciona acceso directo para su sistema iSeries y, porconsiguiente, representa un riesgo de seguridad limitado.Su preocupación principalcomo administrador de seguridad es asegurarse de que la información correcta seasocie a la Network Station correcta. (En otras palabras, una personamalintencionada podría modificar la tabla BOOTP y hacer que las estaciones detrabajo no funcionaran o funcionaran incorrectamente).

Para administrar el servidor BOOTP y la tabla BOOTP, debe disponer de laautorización especial *IOSYSCFG. Debe controlar cuidadosamente los perfiles deusuario que tienen la autorización especial *IOSYSCFG en su sistema. En lapublicación IBM Network Station Manager para AS/400 se describen losprocedimientos para trabajar con la tabla BOOTP.

Consejos para la seguridad del servidor Protocolo de ConfiguraciónDinámica de Sistema Principal (DHCP)

Protocolo de configuración dinámica de sistema principal (DHCP) proporciona unainfraestructura para pasar información de configuración a los sistemas principalesen una red TCP/IP. Para las estaciones de trabajo clientes, DHCP puedeproporcionar una función similar a la configuración automática. Un programahabilitado para DHCP en la estación de trabajo cliente difunde una petición deinformación de configuración. Si el servidor DHCP está ejecutándose en el iSeries,el servidor responde a la petición enviando la información que necesita la estaciónde trabajo cliente para configurar correctamente TCP/IP.

Puede utilizar DHCP para que sea más sencillo para los usuarios conectarse aliSeries por primera vez.Esto obedece a que el usuario no necesita especificarinformación de configuración de TCP/IP. También puede utilizar DHCP parareducir el número de direcciones internas de TCP/IP que necesita en una subred.El servidor DHCP puede asignar temporalmente direcciones IP a usuarios activos(de su agrupación de direcciones IP).

En el caso de una Network Station puede utilizar DHCP en lugar de BOOTP.DHCP proporciona más funciones que BOOTP y puede soportar la configuracióndinámica de Network Station y PC.

Consejos para evitar el acceso con DHCPSi no quiere que nadie utilice el servidor DHCP en el sistema, lleve a cabo losiguiente:1. Para evitar que los trabajos del servidor DHCP se inicien automáticamente al

arrancar TCP/IP, teclee lo siguiente:CHGDHCPA AUTOSTART(*NO)


Notas:

a. AUTOSTART(*NO) es el valor por omisión.b. “Control de los servidores TCP/IP que se inician automáticamente” en la

página 170 proporciona más información acerca del control de los servidoresTCP/IP que se inician automáticamente.

2. Para evitar que alguien asocie una aplicación de usuario, tal como unaaplicación socket, con el puerto que el sistema utiliza normalmente para DHCP,haga lo siguiente:a. Teclee GO CFGTCP para visualizar el menú Configurar TCP/IP.b. Seleccione la opción 4 (Trabajar con restricciones de puerto TCP/IP).c. En la pantalla Trabajar con restricciones de puerto TCP/IP, especifique la

opción 1 (Añadir).d. Para el rango del puerto más bajo, especifique 67.e. Para el rango del puerto más alto, especifique 68.

Notas:

1) La restricción de puertos entra en vigor cuando se vuelve a arrancarTCP/IP. Si TCP/IP está activo cuando se establecen las restricciones depuertos, debe finalizar TCP/IP y arrancarlo de nuevo.

2) RFC1700 proporciona información sobre las asignaciones de números depuerto comunes.

f. Para el protocolo, especifique *UDP.g. Para el campo de perfil de usuario, especifique un nombre de perfil de

usuario protegido en el sistema. (Los perfiles de usuario protegidos no sonpropietarios de programas que adoptan autorización y no tienencontraseñas conocidas por otros usuarios.) Restringiendo el puerto a unusuario específico, excluye automáticamente a todos los demás usuarios.

Consejos para la seguridad del servidor DHCPA continuación se proporcionan una serie de consideraciones de seguridad quedebe tener en cuenta al ejecutar DHCP en el sistema iSeries:v Restrinja el número de usuarios con autoridad para administrar DHCP. La

administración de DHCP requiere la autorización siguiente:– Autorización especial *IOSYSCFG– Autorización *RW sobre los archivos siguientes:

/QIBM/UserData/OS400/DHCP/dhcpsd.cfg/QIBM/UserData/OS400/DHCP/dhcprd.cfg

v Evalúe la accesibilidad física de la LAN. ¿Podría un extraño entrar fácilmente ensus instalaciones con un portátil y conectarse físicamente a la LAN? Si estoconstituye un riesgo, DHCP proporciona la posibilidad de crear una lista declientes (direcciones de hardware) que configurará el servidor DHCP. Al utilizaresta característica, se elimina parte de la mejora en la productividad que DHCPproporciona a los administradores de red. Sin embargo, se está evitando que elsistema configure estaciones de trabajo desconocidas.

v Si es posible, utilice una agrupación de direcciones IP que sea reutilizable (noestructurada para Internet). Esto contribuye a evitar que una estación de trabajoexterna a la red obtenga del servidor información de configuración utilizable.

v Utilice los puntos de salida de DHCP si necesita protección de seguridadadicional. A continuación se proporciona una visión general de los puntos desalida y de las posibilidades de los mismos. La publicación iSeries System APIReference describe cómo utilizar estos puntos de salida.


Entrada de puertoEl sistema llama al programa de salida siempre que lee un paquete dedatos del puerto 67 (el puerto de DHCP). El programa de salida recibe elpaquete de datos completo. El programa de salida puede decidir si elsistema debe procesar o descartar el paquete. Puede utilizar este puntode salida cuando las características de protección de DHCP no seansuficientes para sus necesidades.

Asignación de direcciónEl sistema llama al programa de salida siempre que DHCP asigneformalmente una dirección a un cliente.

Liberación de direcciónEl sistema llama al programa de salida siempre que DHCP liberaformalmente una dirección y la vuelve a colocar en la agrupación dedirecciones.

Consejos para la seguridad del servidor de Protocolo trivial detransferencia de archivos

El Protocolo trivial de transferencia de archivos (TFTP) proporciona la transferenciabásica de archivos sin autenticación de usuario. TFTP trabaja con el ProtocoloBootstrap (BOOTP) o el Protocolo de Configuración Dinámica de Sistema Principal(DHCP) para proporcionar soporte para la IBM Network Station para AS/400.

La IBM Network Station para AS/400 (un cliente de estación de trabajo sin ningúntipo de soporte de almacenamiento) se conecta inicialmente al servidor BOOTP o alservidor DHCP. El servidor BOOTP o el servidor DHCP responden con la direcciónIP del cliente y el nombre del archivo de carga. A continuación, el cliente inicia unapetición TFTP al servidor solicitando el archivo de carga. Cuando el cliente terminade bajar el archivo de carga, finaliza la sesión TFTP.

Consejos para evitar el acceso TFTPSi no tiene ninguna Network Station conectada a su iSeries, probablemente nonecesite ejecutar el servidor TFTP en el sistema.Para evitar que se ejecute elservidor TFTP, haga lo siguiente:__ Paso 1. Para evitar que los trabajos del servidor TFTP se inicien

automáticamente al arrancar TCP/IP, teclee lo siguiente:CHGTFTPA AUTOSTART(*NO)

Notas:



__ Paso 2. Para evitar que alguien asocie una aplicación de usuario, tal como unaaplicación socket, con el puerto que el sistema utiliza normalmentepara TFTP, haga lo siguiente:__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar



especifique la opción 1 (Añadir).



Notas:



__ Paso f. Para el protocolo, especifique *UCD.__ Paso g. Para el campo de perfil de usuario, especifique un nombre


Consejos para la seguridad del servidor TFTPPor omisión, el servidor TFTP proporciona acceso muy limitado al sistemaiSeries.Se ha configurado específicamente para proporcionar el código inicial paralas Estaciones de red. Como administrador de seguridad, debe tener en cuenta lascaracterísticas siguientes del servidor TFTP:v El servidor TFTP no requiere autenticación (una contraseña y un ID de usuario).

Todos los trabajos TFTP se ejecutan bajo el perfil de usuario QTFTP. El perfil deusuario QTFTP no tiene una contraseña. Por consiguiente, no está disponiblepara el inicio de sesión interactivo. El perfil de usuario QTFTP no tiene ningunaautorización especial, ni tiene ninguna autorización explícita para los recursosdel sistema. Utiliza la autorización pública para acceder a los recursos quenecesita para las Estaciones de red.

v El servidor TFTP está configurado para acceder al directorio que contiene lainformación de la Network Station. Debe tener autorización *PUBLIC o QTFTPdebe tener autorización para leer o grabar en ese directorio. Para grabar en eldirectorio debe haber especificado *CREATE en el parámetro ″Permitir grabaciónen archivo″ del mandato CHGTFTPA. Para grabar en un archivo ya existentedebe haber especificado *REPLACE en el parámetro ″Permitir grabación enarchivo″ de CHGTFTPA. *CREATE le permite sustituir archivos ya existentes ocrear archivos nuevos. *REPLACE solamente le permite sustituir archivos yaexistentes.Un cliente TFTP no puede acceder a ningún otro directorio a menos que sedefina explícitamente en el directorio con el mandato Cambiar atributos TFTP(CHGTFTPA). Por consiguiente, si un usuario local o remoto no intenta iniciaruna sesión TFTP para el sistema, la posibilidad del usuario de acceder a lainformación o causar daños es extremadamente limitada.

v Si elige configurar el servidor TFTP para proporcionar otros servicios, además demanejar Estaciones de red, puede definir un programa de salida para evaluar yautorizar cada petición TFTP. El servidor TFTP proporciona una salida devalidación de petición similar a la salida que está disponible para el servidorFTP.

Nota: El apartado “TCP/IP User Exits” de la publicación TCP/IP Configurationand Reference describe el punto de salida de FTP y proporciona programasde ejemplo. Puede utilizar la misma técnica para el punto de salida TFTP.


Consejos para la seguridad del Servidor de EXECution remotoEl servidor de EXECution remoto (REXEC) recibe y ejecuta mandatos de un clienteREXEC. Generalmente, un cliente REXEC es una aplicación de PC o UNIX quesoporta el envío de mandatos REXEC. El soporte que proporciona este servidor essimilar a la posibilidad que está disponible al utilizar el submandato RCMD(mandato remoto) para el servidor FTP.

Consejos para evitar el acceso REXECSi no desea que el iSeries acepte mandatos de un cliente REXEC, haga lo siguientepara evitar que se ejecute el servidor REXEC:__ Paso 1. Para evitar que los trabajos del servidor REXEC se inicien

automáticamente al iniciar TCP/IP, escriba lo siguiente:CHGRXCA AUTOSTART(*NO)

Notas:



__ Paso 2. Para evitar que alguien asocie una aplicación de usuario, tal como unaaplicación socket, con el puerto que el sistema utiliza normalmentepara REXEC, haga lo siguiente:__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar



especifique la opción 1 (Añadir).__ Paso d. Para el rango del puerto más bajo, especifique 512.__ Paso e. Para el rango del puerto más alto, especifique *ONLY.__ Paso f. Para el protocolo, especifique *TCP.__ Paso g. Para el campo de perfil de usuario, especifique un nombre


Notas:

a. La restricción de puertos entra en vigor cuando se vuelve aarrancar TCP/IP. Si TCP/IP está activo cuando se establecen lasrestricciones de puertos, debe finalizar TCP/IP y arrancarlo denuevo.

b. RFC1700 proporciona información sobre las asignaciones denúmeros de puerto comunes.

Consejos para la seguridad del Servidor REXECA continuación se incluyen algunas consideraciones que debe tener en cuenta alelegir la ejecución del servidor de EXECution remoto en su sistema:


v Una petición REXCD incluye un ID de usuario, una contraseña y el mandato aejecutar. Se aplica la autenticación iSeries normal y la comprobación deautenticación:– La combinación de perfil de usuario y contraseña debe ser válida.– El sistema fuerza el valor de Limitar posibilidades (LMTCPB) para el perfil de

usuario.– El usuario debe disponer de autorización para el mandato y para todos los

recursos que utiliza el mandato.v El servidor REXEC proporciona puntos de salida similares a los puntos de salida

que están disponibles para el servidor FTP. Puede utilizar el punto de salida deValidación para evaluar el mandato y decidir si se autoriza.

Nota: El apartado “TCP/IP User Exits” de la publicación TCP/IP Configurationand Reference describe el punto de salida de FTP y proporciona programasde ejemplo. Puede utilizar la misma técnica para el punto de salidaREXEC.

v Cuando elige ejecutar el servidor REXEC, ejecutará fuera de cualquier control deacceso de menú que tenga en el sistema. Debe asegurarse de que el esquema deautorización de objeto sea el adecuado para la protección de los recursos.

Consejos de seguridad para el Daemon de rutaEl servidor Daemon de ruta (RouteD) proporciona soporte para RIP (Protocolo deinformación de direccionamiento) en iSeries.RIP es el protocolo dedireccionamiento más utilizado. Se trata de un Protocolo de pasarela interior queayuda a TCP/IP en el direccionamiento de paquetes IP en un sistema autónomo.

La finalidad de RouteD es aumentar la eficacia del tráfico de red, permitiendo quelos sistemas de una red autorizada se actualicen entre sí con la información de rutaactual. Al ejecutar RouteD, su sistema recibe las actualizaciones de los demássistemas participantes acerca de cómo deben direccionarse las transmisiones(paquetes). Por consiguiente, si los piratas informáticos pueden acceder al servidorRouteD, pueden utilizarlo para redireccionar los paquetes a través de un sistemaque puede husmear o modificar los paquetes. A continuación se incluyen algunassugerencias para la seguridad RouteD:v Para la V4R1, iSeries utiliza RIPv1, que no proporciona ningún método para la

autenticación de direccionadores.Su finalidad es utilizarla dentro de una redautorizada. Si su sistema es una red con otros sistemas en los que no ″confía″,no debe ejecutar el servidor RouteD. Para garantizar que el servidor RouteD nose inicia automáticamente, escriba lo siguiente:CHGRTDA AUTOSTART(*NO)

Notas:

1. AUTOSTART(*NO) es el valor por omisión.2. “Control de los servidores TCP/IP que se inician automáticamente” en la


v Asegúrese de que controla a la persona que cambia la configuración de RouteD,que requiere la autorización especial *IOSYSCFG.

v Si el sistema está presente en más de una red (por ejemplo en una intranet y enInternet), puede configurar el servidor RouteD para enviar y aceptaractualizaciones sólo con la red segura.


Consejos para la seguridad del servidor Sistema de nombres dedominio (DNS)

El servidor Sistema de nombres de dominio (DNS) proporciona la conversión deun nombre de sistema principal a una dirección IP y viceversa. En el iSeries, elservidor DNS tiene la misión de proporcionar la conversión de direcciones para lared interna segura (intranet).

Consejos para evitar el acceso con DNSSi no quiere que nadie utilice el servidor DNS en el sistema, lleve a cabo losiguiente:1. Para evitar que los trabajos del servidor DNS se inicien automáticamente al

iniciar TCP/IP, escriba lo siguiente:CHGDNSA AUTOSTART(*NO)

Notas:

a. AUTOSTART(*NO) es el valor por omisión.b. “Control de los servidores TCP/IP que se inician automáticamente” en la


2. Para evitar que alguien asocie una aplicación de usuario, tal como unaaplicación socket, con el puerto que el sistema utiliza normalmente para DNS,haga lo siguiente:a. Teclee GO CFGTCP para visualizar el menú Configurar TCP/IP.b. Seleccione la opción 4 (Trabajar con restricciones de puerto TCP/IP).c. En la pantalla Trabajar con restricciones de puerto TCP/IP, especifique la

opción 1 (Añadir).d. Para el rango del puerto más bajo, especifique 53.e. Para el rango del puerto más alto, especifique *ONLY.

Notas:

1) La restricción de puertos entra en vigor cuando se vuelve a arrancarTCP/IP. Si TCP/IP está activo cuando se establecen las restricciones depuertos, debe finalizar TCP/IP y arrancarlo de nuevo.

2) RFC1700 proporciona información sobre las asignaciones de números depuerto comunes.

f. Para el protocolo, especifique *TCP.g. Para el campo de perfil de usuario, especifique un nombre de perfil de

usuario protegido en el sistema. (Los perfiles de usuario protegidos no sonpropietarios de programas que adoptan autorización y no tienencontraseñas conocidas por otros usuarios.) Restringiendo el puerto a unusuario específico, excluye automáticamente a todos los demás usuarios.

h. Repita los pasos del 2c al 2g para el protocolo *UDP (Datagrama deusuario).

Consejos para la seguridad del servidor DNSA continuación se proporcionan una serie de consideraciones de seguridad quedebe tener en cuenta al ejecutar DNS en el sistema iSeries:v La función que proporciona el servidor DNS es la conversión de direcciones IP y

la conversión de nombres. No proporciona acceso a objetos del sistema iSeries.Elriesgo que supone el que un extraño acceda al servidor DNS consiste en que elservidor proporciona una forma fácil de ver la topología de la red. El DNS


||||

puede ahorrar esfuerzos a los piratas a la hora de determinar las direcciones delos destinos potenciales. Sin embargo, el DNS no proporciona información queayude a irrumpir en tales sistemas destino.

v Normalmente se utiliza el servidor DNS de iSeries para la intranet. Por lo tanto,probablemente no tenga necesidad de restringir la capacidad de consultar elDNS. Sin embargo, es posible que tenga, por ejemplo, varias subredes en laintranet. Es posible que no desee que los usuarios de otra subred puedanconsultar el DNS del iSeries.Existe una opción de seguridad del DNS quepermite limitar el acceso a un dominio primario. Utilice el Operations Navigatorpara especificar direcciones IP a las que el servidor DNS deberá responder.Otra opción de seguridad permite especificar qué servidores secundarios puedencopiar información del servidor DNS primario. Cuando se utiliza esta opción, elservidor aceptará las peticiones de transferencia de zona (una petición paracopiar información) solamente de los servidores secundarios listadosexplícitamente.

v Asegúrese de restringir cuidadosamente la capacidad de cambiar el archivo deconfiguración del servidor DNS. Alguien con malas intenciones podría, porejemplo, cambiar el archivo DNS para dirigirse a una dirección IP de fuera de lared. Podrían hacerse pasar por servidor de la red y, quizás, obtener acceso ainformación confidencial de los usuarios que visitaran el servidor.

Consejos de seguridad para el protocolo simple de transferencia decorreo

El protocolo simple de transferencia de correo (SMTP) proporciona la posibilidadde distribuir documentos y mensajes de correo electrónico a otros sistemas asícomo desde ellos. El sistema no realiza ningún proceso de inicio de sesión paraSMTP.

Consejos para evitar el acceso de SMTPSi no desea que nadie utilice SMTP para distribuir correo a su sistema o desde elmismo, deberá evitar que se ejecute el servidor SMTP. Haga lo siguiente:__ Paso 1. Si no va a utilizar SMTP para nada, no lo configure en el sistema (ni

permita a nadie que lo haga). Si necesita SMTP ocasionalmente, peronormalmente no quiere que funcione, continúe con los pasossiguientes.

__ Paso 2. Para evitar que los trabajos del servidor SMTP se arranquenautomáticamente al arrancar TCP/IP, teclee lo siguiente:CHGSMTPA AUTOSTART(*NO)

Notas:



__ Paso 3. Para evitar que se arranque SMTP y evitar que alguien asocie unaaplicación de usuario, tal como una aplicación socket, con el puertoque el sistema utiliza normalmente para SMTP, haga lo siguiente:__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar


TCP/IP).


__ Paso c. En la pantalla Trabajar con restricciones de puerto TCP/IP,especifique la opción 1 (Añadir).


Notas:





__ Paso h. Repita los pasos del 3c al 3g para el protocolo *UDP.__ Paso 4. Para proporcionar protección extra, retenga las colas de distribución

SNADS que utiliza la aplicación SMTP tecleando los mandatossiguientes:HLDDSTQ DSTQ(QSMTPQ) PTY(*NORMAL)HLDDSTQ DSTQ(QSMTPQ) PTY(*HIGH)

Consejos para controlar el acceso de SMTPSi quiere permitir que los clientes de SMTP accedan al sistema, tenga en cuenta loselementos de seguridad siguientes:v Si es posible, evite utilizar una entrada *ANY *ANY en el directorio de

distribución del sistema. Cuando el sistema no dispone de una entrada *ANY*ANY, es más difícil intentar utilizar SMTP para inundar el sistema o colapsar lared. La Inundación se produce cuando el almacenamiento auxiliar se llena decorreo no deseado que se direcciona a través de su sistema a otro sistema.

v Para evitar que un usuario llene el sistema con objetos no deseados, asegúresede establecer límites de umbral adecuados para las agrupaciones dealmacenamiento auxiliar (ASP). Puede visualizar y establecer los umbrales paralas ASP utilizando las herramientas de servicio del sistema (SST) o lasherramientas de servicio dedicado (DST). La publicación Copia de seguridad yrecuperación proporciona más información acerca de los umbrales de ASP.

v En la V4R4 también es posible ajustar el número máximo de trabajos deprearranque que se crearán efectuando CHGPJE (vea el apartado TCP/IP Configand Ref, Email). Esto limitará el número de trabajos creados durante un ataquede denegación de servicio. El valor por omisión es 256 para el umbral máximo.

v La publicación AS/400 Internet Security: Protecting Your AS/400 from HARM on theInternet describe los pasos para limpiar el iSeries si el sistema es víctima de unainundación.

El PTF SMTP de nueva función se introddujo en las V4R2, V4R3 y V4R4 paracontrolar el correo SPAM.

SMTP Instrucciones especiales para SPAM


El código SPAM se añadió en los siguientes releases:v V4R2 5769TC1 SF52864v V4R3 5769TC1 SF53421v V4R4 5769TC1 SF54014

Instrucciones especiales para controlar RELAY y CONNECTIONS

Si no elige beneficiarse de esta función mejorada, no es necesario llevar a caboninguna acción. Si en cambio desea beneficiarse de esta función mejorada, deberáhacer lo siguiente:v Cree un Archivo físico fuente QUSRSYS/QTMSADRLST con lonigutd de

registro 92 (12 caracteres para cuenta de línea e información de cambio). Elarchivo debe ser ccsid 500.CRTSRCPF FILE(QUSRSYS/QTMSADRLST) CCSID(500)

v Cree un miembro de Archivo físico fuente ACCEPTRLYPara crear un miembro para un archivo que ya existe (e ir a editar)STRSEU SRCFILE(QUSRSYS/QTMSADRLST) SRCMBR(ACCEPTRLY)

v Añada un registro con la dirección con decimal con coma del usuarioALLOWED.Sólo se permitirá la retransmisión de las direcciones de la lista.Ponga una dirección y máscara por línea, (la máscara es opcional).Este sería un ejemplo de entrada:1.2.3.4 255.255.0.0

En este ejemplo la máscara y la dirección se combinarían (AND) para rechazartodas las direcciones que empezaran por ’1.2’, por ejemplo ’1.2.5.6’

Otro ejemplo:7.8.9.3 255.255.255.255

Este sólo rechazaría una dirección, 7.8.9.3. Es igual que 7.8.9.3

Instrucciones para activar listas de retransmisiones y conexionesv Finalice el servidor smtp

ENDTCPSVR SERVER(*SMTP)v Si existe un área de datos para bloquear todas las retransmisiones, suprímala.

Para ver si existe el área de datos:DSPDTAARA DTAARA(QUSRSYS/QTMSNORLY)

Para suprimir el área de datos:DLTDTAARA DTAARA(QUSRSYS/QTMSNORLY)

v Inicie el servidor smtpSTRTCPSVR SERVER(*SMTP)

NOTA:

v Si se utiliza el área de datos para bloquear retransmisiones(QUSRSYS/QTMSNORLY), se bloquearán TODAS las retransmisiones. Si el áreade datos no está presente pero existe QUSRSYS/QTMSADRLST.ACCEPTRLY ytiene al menos una entrada, solamente podrán retransmitirse las direcciones dela lista.

v Si la dirección está en QUSRSYS/QTMSADRLST.REJECTCNN no se permitirá laconexión. Esto bloquea la retransmisión y la entrega de correo desde esta


dirección. Si QUSRSYS/QTMSADRLST.REJECTCNN no existe o no tieneentradas válidas, se permitirán todas las conexiones.

v Si el registro por diario está activado, las direcciones rechazadas se registraránpor diario.Para averiguar si el registro por diario está activado:– Utilice PF4 en el mandato CHGSMTPA y busque el parámetro Journal que

estaría establecido como *YES para indicar activado.– Para visualizar el diario, (’sues/jrnl’ es la biblioteca y archivo, dec14’ es el

nombre del miembro que está creando):DSPJRN JRN(QZMF) OUTPUT(*OUTFILE) OUTFILE(sues/jrnl) OUTMBR(dec14) ENTDTALEN(512)

DSPPFM FILE(sues/jrnl) MBR(dec14)

Las conexiones rechazadas tendrán la entrada, empezando por la columna195:

″9S CONNECTION REFUSED 1.2.3.4″

Las retransmisiones rechazadas tendrán la entrada, empezando por lacolumna 195:

″9V RELAY REFUSED 1.2.3.4″

(1.2.3.4 es la dirección con decimal con coma rechazada.)

Estas entradas de diario tendrán un ID de mensaje de 0.– Las retransmisiones se rechazarán con la respuesta del protocolo SMTP, en la

conversación de cliente SMTP a servidor SMTP:- ″553 Relaying blocked at this site.″

– Las conexiones se rechazarán con la respuesta del protocolo SMTP, en laconversación de cliente SMTP a servidor SMTP:″421 Service not available, access denied.″

– Solamente se leerán las 10.000 primeras entradas de cada tabla. Las líneasque empiecen por ’*’ serán tratadas como comentarios. El archivo debe serccsid 500. Ponga solamente una dirección y máscara por línea. Si hace FTP alarchivo entre sistemas, asegúrese de que primero se crea como un archivofísico fuente en el sistema receptor.

– Los mensajes de error aparecerán en las anotaciones de trabajoQTSMTPSRVR de la siguiente manera:Las entradas de QUSRSYS/QTMSADRLST que no son válidas:″TCP9508″ ″Dirección Internet no válida.″

Nota: El mensaje anterior siempre irá seguido del siguiente mensaje paraindicar qué miembro de archivo tiene problemas. Las entradas sinerrores seguirán utilizándose.

Cualquier error en el archivo QUSRSYS/QTMSADRLST:

″TCP2062″ ″El trabajo SMTP no puede utilizar el archivo QTMSADRLST.″

Excepto en los errores de entrada, el mensaje anterior dará como resultado lasacciones que se producirían si no hubiera archivo.

Un error al obtener espacio temporal para listas, que dará como resultado lasacciones que se producirían si no hubiera archivo:


||

|

|

||

|

||

|

|

|

″TCP1062″ ″No hay suficiente almacenamiento disponible.″

Los errores de lectura en el archivo QUSRSYS/QTMSADRLST pueden darcomo resulta que se utilice un archivo parcial:

″TCP12B5″ ″Imposible leer datos del archivo QTMSADRLST.″– Si se realizan cambios en QUSRSYS/QTMSADRLST, debe reiniciarse el

Servidor SMTP para que dichos cambios entren en vigor:ENDTCPSVR SERVER(*SMTP)STRTCPSVR SERVER(*SMTP)

Para obtener más información sobre las máscaras de subred, consulte el Manualde consulta y configuración de TCP/IP, capítulo 2, apartado Subredes.

Consejos de seguridad para POP (Protocolo de Oficina Postal)El servidor POP (Protocolo de Oficina Postal) proporciona un sistema simple dealmacenamiento y envío de correo. El servidor POP retiene el correotemporalmente hasta que un cliente de correo lo recupera. La interfazcliente/servidor del servidor POP necesita los servicios del servidor SMTP. Uncliente de correo debe tener un ID de usuario y una contraseña para recuperar elcorreo del servidor POP.

Consejos para evitar el acceso de POPSi no quiere que nadie utilice POP para acceder al sistema, debe evitar elfuncionamiento del servidor POP. Haga lo siguiente:__ Paso 1. Si no va a utilizar POP en absoluto, no lo configure en el sistema (ni

permita que nadie lo haga). Si necesita POP ocasionalmente, peronormalmente no quiere que el servidor POP funcione, continúe con lospasos siguientes.

__ Paso 2. Para evitar que los trabajos del servidor POP se arranquenautomáticamente al arrancar TCP/IP, teclee lo siguiente:CHGPOPA AUTOSTART(*NO)

Notas:



__ Paso 3. Para evitar que POP se arranque y evitar que alguien asocie unaaplicación de usuario, tal como una aplicación socket, con el puertoque el sistema utiliza normalmente para POP, haga lo siguiente:__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar



especifique la opción 1 (Añadir).__ Paso d. Para el rango del puerto más bajo, especifique 109.__ Paso e. Para el rango del puerto más alto, especifique 110.


Notas:





__ Paso h. Repita los pasos del 3c al 3g para el protocolo *UDP.__ Paso 4. Revise el apartado “Consejos de seguridad para el protocolo simple de

transferencia de correo” en la página 194 para obtener sugerencia paraproteger el servidor SMTP. (El servidor POP necesita los servicios delservidor SMTP).

Consejos para controlar el acceso de POPSi quiere permitir que los clientes de POP accedan al sistema, tenga en cuenta loselementos de seguridad siguientes:v El servidor de correo POP proporciona autenticación para los clientes que

intenten acceder a sus buzones. El cliente envía un ID de usuario y unacontraseña al servidor.

Nota: La contraseña se envía sin protección y puede ser vulnerable.El servidor de correo POP verifica el ID de usuario y la contraseña,comparándolos con la contraseña y el perfil de usuario del iSeries de eseusuario.

Puesto que no tiene control sobre cómo se almacenan el ID de usuario y lacontraseña en el cliente POP, probablemente querrá crear un perfil de usuarioespecial que tiene una autorización muy limitada en el sistema iSeries.Paraevitar que alguien utilice el perfil de usuario para una sesión interactiva, puedeestablecer los valores siguientes en el perfil de usuario:– Establezca el menú inicial (INLMNU) en *SIGNOFF– Establezca el programa inicial (INLPGM) en *NONE– Establezca limitar posibilidades (LMTCPB) en *YES

v Para evitar que un intruso malicioso inunde el sistema de objetos no deseados,asegúrese de establecer límites de umbral adecuados para las agrupaciones dealmacenamiento auxiliar (ASP). El umbral de almacenamiento de ASP evita queel sistema se detenga porque el sistema operativo no tiene espacio de trabajosuficiente. Puede visualizar y establecer los umbrales para las ASP utilizando lasherramientas de servicio del sistema (SST) o las herramientas de serviciodedicado (DST). La publicación Copia de seguridad y recuperación proporciona másinformación acerca de los umbrales de ASP.

v Aunque necesita asegurarse de que el umbral ASP evita que el sistema seinunde, también debe asegurarse de que el sistema tiene espacio adecuado paraalmacenar y entregar correo adecuadamente. Si el sistema no puede entregar el


correo porque no tiene almacenamiento adecuado para el correo transeúnte, estoconstituye un problema de integridad para los usuarios.

Nota: Habitualmente el espacio de almacenamiento no es un problemasignificativo. Cuando un cliente recibe correo, el sistema suprime esecorreo del servidor.

Consejos de seguridad para servicios Web desde el iSeries 400En la V4R1 y la V4R2, el producto Internet Connection Server proporcionaba aliSeries 400 la posibilidad de servicios web. En la V4R3, el producto IBM HTTPServer para AS/400 ha sustituido a Internet Connection Server. Cada productoproporciona un servidor de Protocolo de Transferencia Hipertexto (HTTP) en eliSeries 400. Los dos productos comparten diversos aspectos de la seguridad,aunque existen diferencias entre ellos. En este apartado, los términos generales″servidor HTTP″ y ″servidor Internet″ se utilizan para describir los aspectosrelativos a ambos productos. Cuando un aspecto corresponda específicamente alInternet Connection Server o al IBM HTTP Server para AS/400, se utilizará sunombre completo.

El servidor HTTP proporciona a los clientes navegadores de la World Wide Web elacceso a objetos multimedia del iSeries, tales como documentos HTML (lenguaje decódigos hipertexto).También ofrece soporte para la especificación Interfaz de pasarelacomún (CGI). Los programadores de aplicaciones pueden escribir programas CGIpara ampliar la funcionalidad del servidor.

El administrador puede utilizar el Internet Connection Server o el IBM HTTPServer para AS/400 para ejecutar múltiples servidores a la vez en el mismoiSeries.Cada servidor que está en ejecución se denomina una instancia de servidor.Cada instancia de servidor tiene un nombre exclusivo. El administrador controlaqué instancias se inician, y qué puede hacer cada instancia.

Nota: Debe estar ejecutando la instancia *ADMIN en el servidor HTTP cuandoutilice un navegador Web para configurar o administrar cualquiera de loselementos siguientes:v Firewall para iSeriesv Network Stationv Internet Connection Serverv Internet Connection Secure Serverv IBM HTTP Server para AS/400

Un usuario (un visitante del sitio Web) nunca verá ninguna pantalla de Inicio desesión de iSeries.No obstante, el administrador del iSeries debe autorizarexplícitamente todos los documentos HTML y programas CGI, definiéndolos endirectivas HTTP.Además, el administrador puede configurar tanto la seguridad delos recursos y la autenticación de los usuarios (ID de usuario y contraseña), enalgunas o en todas las peticiones.

Un ataque por parte de un pirata podría dar como resultado la denegación deservicio al servidor Web. El servidor puede detectar un ataque de denegación deservicio midiendo el tiempo de espera de las peticiones de determinados clientes.Si el servidor no recibe una petición del cliente, el servidor determina que se estáproduciendo un ataque de denegación de servicio. Esto ocurre tras realizar laconexión inicial del cliente con el servidor. La acción por omisión del servidor esllevar a cabo la detección del ataque y la penalización.


Consejos para evitar el accesoSi no desea que nadie utilice el programa para acceder al sistema, deberá evitar laejecución del servidor HTTP. Haga lo siguiente:__ Paso 1. Para evitar que los trabajos del servidor HTTP se arranquen

automáticamente al arrancar TCP/IP, teclee lo siguiente:CHGHTTPA AUTOSTART(*NO)

Notas:



__ Paso 2. Por omisión, el trabajo del servidor HTTP utiliza el perfil de usuarioQTMHHTTP. Para evitar que se arranque el servidor HTTP, establezcael estado del perfil de usuario QTMHHTTP en *DISABLED.

Consejos para controlar el accesoEl objetivo principal de ejecutar un servidor HTTP es proporcionar acceso a losvisitantes a un sitio Web de su sistema iSeries.Piense en quienes visitan su sitioWeb como las personas que leen un anuncio en un diario comercial. El visitante noestá al corriente del hardware y el software que se ejecuta en el sitio Web, porejemplo el tipo de servidor que está utilizando y dónde está ubicado físicamente elservidor. Por lo general, no deseará poner ninguna barrera (por ejemplo, unapantalla de inicio de sesión) entre un visitante potencial y el sitio Web. Sinembargo, quizá desee restringir el acceso a algunos documentos o programas de laCGI que se proporcionan en su sitio Web.

Quizá desee también que un solo sistema iSeries proporcione varios sitio Weblógicos.Por ejemplo, su sistema iSeries puede ofrecer soporte para sucursalesdiferentes de su empresa con conjuntos de clientes diferentes.Para cada una deestas sucursales de la empresa, desea que aparezca un solo sitio Web de modototalmente independiente para el visitante. Además, quizá desee proporcionarsitios Web internos (una intranet) con información confidencial acerca de suempresa.

Como administrador de seguridad, debe asegurarse de proteger el contenido de susitio Web y, al mismo tiempo, debe garantizar que sus prácticas de seguridad noafectan negativamente a su sitio Web. Además, debe asegurarse de que la actividadHTTP no arriesga la integridad del sistema o de la red. Los temas siguientesproporcionan sugerencias de seguridad cuando se utilice el programa.

Consideraciones sobre la administraciónA continuación se citan algunas consideraciones sobre seguridad en laadministración del servidor Internet.v Puede realizar funciones de puesta a punto y de configuración utilizando un

navegador Web y la instancia *ADMIN. Para algunas funciones, tales como crearinstancias adicionales del servidor, debe utilizar el servidor *ADMIN.

v El URL por omisión para la página de inicio de administración (la página deinicio para el servidor *ADMIN) está publicado en la documentación de losproductos que proporcionan funciones de administración de navegador. Por lotanto, los piratas probablemente conocerán el URL por omisión y estarápublicado en foros de piratas, al igual que se conocen y se publican lascontraseñas por omisión de los perfiles por omisión proporcionados por IBM.Existen numerosas formas de protegerse de este riesgo:


– Ejecutar solamente la instancia *ADMIN del servidor HTTP cuando necesiterealizar funciones de administración. No tener la instancia *ADMIN enejecución todo el tiempo.

– Activar el soporte SSL para la instancia *ADMIN (utilizando el Gestor deCertificados Digitales). La instancia *ADMIN utiliza las directivas deprotección HTTP para solicitar una contraseña y un ID de usuario. Al utilizarSSL, su ID de usuario y contraseña se cifran (junto con el resto de lainformación sobre la configuración que aparece en los formularios deadministración).

– Utilizar un cortafuegos para impedir el acceso al servidor *ADMIN desdeInternet y para ocultar los nombres de dominio y de sistema, que formanparte del URL.

v Cuando lleve a cabo funciones de administración, debe iniciar la sesión con unperfil de usuario que tenga autorización especial *IOSYSCFG. Quizá tambiénnecesite autorización para especificar objetos en el sistema como, por ejemplo:– Las bibliotecas o los directorios que contienen documentos HTML y

programas CGI.– Los perfiles de usuario que desee intercambiar entre las directivas para el

servidor.– Las Listas de control de acceso (ACL) para todos los directorios que utilicen

las directivas.– Un objeto de lista de validación para la creación y el mantenimiento de ID de

usuario y contraseñas.

Tanto con el servidor *ADMIN como con TELNET tiene la posibilidad de llevara cabo funciones de administración de modo remoto, quizás a través de unaconexión Internet. Si realiza la administración a través de un enlace público(Internet), puede exponer al husmeo una contraseña y un ID de usuariopotentes. El ″husmeador″ puede utilizarlos para intentar acceder al sistemautilizando, por ejemplo, TELNET o FTP.

Notas:

1. Con TELNET, la pantalla de Inicio de sesión se trata como cualquier otrapantalla. Aunque la contraseña no se visualiza al teclearla, el sistema latransmite sin cifrado ni codificación.

2. Con el servidor *ADMIN, la contraseña se codifica, pero no se cifra. Elesquema de codificación es un estándar comercial y, por lo tanto,generalmente conocido entre la comunidad pirata. Aunque la codificación noresulta fácil de comprender para el ″pirata informático″ ocasional, un piratainformático con experiencia probablemente disponga de las herramientasnecesarias para intentar decodificar la contraseña.

Consejo de seguridadSi tiene pensado realizar la administración remota a través de Internet,deberá utilizar la instancia *ADMIN con SSL, de forma que lastransmisiones estén cifradas. No utilice una aplicación poco segura, comouna versión de TELNET anterior a la V4R4 (TELNET da soporte a SSL apartir de la V4R4). Si está utilizando el servidor *ADMIN a través de unaintranet de usuarios autorizados, es probable que pueda utilizarlo conseguridad para la administración.

v Las directivas de HTTP proporcionan la base para todas las actividades en elservidor. La configuración entregada proporciona la posibilidad de ofrecer una


página de Bienvenida por omisión. Un cliente no puede ver ninguno de losdocumentos del servidor excepto la página de Bienvenida hasta que eladministrador del servidor define las directivas para el servidor. Para definirdirectivas, utilice un navegador Web y el servidor *ADMIN o el mandatoTrabajar con configuración HTTP (WRKHTTPCFG). Ambos métodos requieren laautorización especial *IOSYSCFG. Al conectar el iSeries a Internet, resulta aúnmás importante evaluar y controlar el número de usuarios de la organizaciónque tienen autorización especial *IOSYSCFG.

Protección de recursosEl Internet Connection Server y el IBM HTTP Server para AS/400 incluyendirectivas HTTP que pueden proporcionar un control detallado de la informaciónque utiliza el servidor. Puede utilizar las directivas para intercambiar a otrosperfiles de usuario de iSeries y para requerir la autenticación de ciertos recursos.Acontinuación se ofrecen algunas sugerencias y consideraciones para utilizar estesoporte:

Nota: ″Web serving with your IBM HTTP Server″ en el Information Centerproporciona descripciones completas de las directivas HTTP disponibles ycómo utilizarlas. Incluye ejemplos de seguridad y consideraciones.

v El servidor HTTP empieza a partir de la base de ″autorización explícita″. Elservidor no acepta una petición a menos que dicha petición esté definidaexplícitamente en las directivas. En otras palabras, el servidor rechazainmediatamente todas las peticiones de un URL a menos que dicho URL estédefinido en las directivas (por nombre o genéricamente). Para beneficiarse deesta protección inicial que proporcionan las directivas, tenga en cuenta losiguiente:– Al añadir una directiva al servidor HTTP, defina el valor de la plantilla para

la vía de acceso del modo más específico posible. De este modo reducirá laposibilidad de que alguien pueda examinar el sistema y descubrir archivos.Evite la utilización de nombres de archivo genéricos y de comodines.

– Utilice las directivas Map o Pass para enmascarar los nombres de los archivosen el servidor web de iSeries. (Las directivas Map y Pass son métodos paracorrelacionar el URL enviado por el cliente con un recurso o nombre diferentedel servidor). Por ejemplo, el cliente (navegador) puede emitir un URLparecido a:http://hostname/webdata/products

Utilice los formularios de configuración y administración con base en elnavegador (o el mandato WRKHTTPCFG) para añadir una directiva Pass a laconfiguración del servidor HTTP que se parezca a:Pass /webdata/products

/QSYS.LIB/WEBDATA.LIB/WWWDATA.FILE/PRODUCTS.MBR

El peticionario que vea este URL no tendrá ni idea de que los datos delproducto están en el archivo WWWDATA de la biblioteca WEBDATA delsistema iSeries.Este método protege (oculta) los nombres de archivo y debiblioteca de iSeries de los piratas potenciales.También proporciona laflexibilidad para cambiar la aplicación iSeries sin tener que cambiar el URL.

v Puede utilizar directivas de protección para solicitar un ID de usuario y unacontraseña antes de aceptar una petición de alguno de sus recursos o de todosellos. A continuación se ofrecen algunas consideraciones para el uso de estesoporte:– Cuando un usuario (cliente) solicita un recurso protegido, el servidor exige al

navegador una contraseña y un ID de usuario. El navegador solicita al


usuario que entre una contraseña y un ID de usuario y, a continuación, envíala información al servidor. Algunos navegadores almacenan la contraseña y elID de usuario y los envían automáticamente con las peticiones siguientes.Esto exime al usuario de entrar repetidamente los mismos ID de usuario ycontraseña en cada petición.Puesto que algunos navegadores almacenan la contraseña y el ID de usuario,hay que llevar a cabo la misma tarea de educación de usuario que se realizacuando los usuarios entran en el sistema a través de la pantalla de Inicio desesión de iSeries o a través de un direccionador.Una sesión de navegadordesatendida representa un riesgo de seguridad potencial.

– Dispone de tres opciones relacionadas con el manejo de las contraseñas y delos ID de usuario por parte del sistema (especificadas en las directivas deprotección):1. Puede utilizar la validación de perfiles de usuario y contraseñas normales

del iSeries.Por lo general, se utiliza para proteger los recursos de unaintranet (red protegida).

2. Puede crear ″usuarios de Internet″: usuarios que pueden validarse peroque no tienen un perfil de usuario en el sistema iSeries 400. Los usuariosde Internet se implementan mediante un objeto iSeries 400 denominado″lista de validación″. Los objetos de lista de validación contienen listas deusuarios y contraseñas definidos específicamente para su uso con unaaplicación concreta.Puede decidir cómo se suministran los ID de usuario y las contraseñas deInternet (por ejemplo, mediante una aplicación o mediante unadministrador como respuesta a una petición por correo electrónico), asícomo cómo gestionar los usuarios de Internet. Utilice la interfaz (con baseen el navegador) del servidor HTTP para ponerlo a punto.Para las redes no seguras (Internet), el uso de usuarios de Internetproporciona una protección global mejor que el uso de perfiles de usuarioy contraseñas normales del iSeries.El conjunto exclusivo de los ID deusuario y contraseñas crea una limitación integrada respecto a lo quepueden hacer los usuarios. Las contraseñas y los ID de usuario no estándisponibles en el inicio de sesión normal (por ejemplo, con TELNET oFTP). Además, no expone las contraseñas y los ID de usuario del iSeries alhusmeo.

3. El protocolo LDAP (Lightweight directory access protocol) en un protocolode servicios de directorio que proporciona acceso a un directorio a travésde un Protocolo de Control de Transmisión (TCP). Le permite almacenarinformación en ese servicio de directorio y consultarla. Ahora el LDAPestá soportado como opción para la autenticación de usuario.

Notas:

1. Cuando el navegador envía el ID de usuario y la contraseña (ya sea paraun perfil de usuario iSeries 400 o para un usuario de Internet), estáncodificados, no cifrados. El esquema de codificación es un estándarcomercial y, por lo tanto, generalmente conocido entre la comunidadpirata. Aunque la codificación no resulta fácil de comprender para el″pirata informático″ ocasional, un pirata informático con experienciaprobablemente disponga de las herramientas necesarias para intentardecodificarlos.

2. iSeries almacena el objeto de validación en un área protegida delsistema.Sólo puede acceder al mismo con las interfaces definidas delsistema (API) y la autorización adecuada.


|||||

– Puede utilizar el Gestor de certificados digitales (DCM) para crear su propiaAutoridad certificadora en la intranet. El Certificado digital asociaautomáticamente un certificado con el perfil de usuario iSeries delpropietario. El certificado tiene las mismas autorizaciones y los mismospermisos que el perfil asociado.

v Cuando el servidor acepta una petición, entra en función la seguridad normal delos recursos del iSeries.El perfil de usuario del iSeries que ha solicitado elrecurso debe disponer de la autorización necesaria para el recurso (por ejemplo,la carpeta o el archivo físico del recurso que contiene el documento HTML).Poromisión, los trabajos se ejecutan bajo el perfil de usuario QTMHHTTP. Puedeutilizar una directiva para cambiar a un perfil de usuario iSeries distinto.En estecaso, el sistema utiliza la autorización del perfil de usuario para acceder a losobjetos. A continuación se ofrecen algunas consideraciones para este soporte:– El intercambio de perfiles de usuario puede resultar especialmente útil

cuando el servidor proporciona más de un sitio Web lógico. Puede asociar unperfil de usuario diferente a las directivas para cada sitio Web y utilizar laseguridad de recursos de iSeries para proteger los documentos de cada sitio.

– Puede utilizar la posibilidad de intercambiar perfiles de usuario encombinación con el objeto de validación. El servidor utiliza un ID de usuarioy una contraseña exclusivos (separados del ID de usuario y contraseñanormales de iSeries) para evaluar la petición inicial. Una vez el servidor haautenticado al usuario, el sistema intercambia a un perfil de usuario deliSeries diferente, beneficiándose de la seguridad de los recursos deliSeries.Así, el usuario no conoce el nombre verdadero del perfil de usuario yno puede intentar utilizarlo de otros modos (tales como FTP).

v Algunas peticiones del servidor HTTP necesitan ejecutar un programa en elservidor HTTP. Por ejemplo, un programa podría acceder a datos de su sistema.Para que el programa pueda ejecutarse, el administrador del sistema debecorrelacionar la petición (URL) con un programa específico definido por elusuario, que se ajuste a los estándares de interfaz de usuario CGI. Acontinuación, se incluyen algunas consideraciones para los programas CGI:– Puede utilizar las directivas de protección para los programas CGI tal y como

lo hace para documentos HTML. Así, puede solicitar una contraseña y un IDde usuario antes de ejecutar el programa.

– Por omisión, los programas CGI se ejecutan bajo el perfil de usuarioQTMHHTP1. Puede intercambiar a un perfil de usuario iSeries diferente antesde ejecutar el programa.Por consiguiente, puede establecer la seguridad derecursos del iSeries normales para los recursos a los que acceden losprogramas CGI.

– Como administrador de seguridad, debe revisar la seguridad antes deautorizar la utilización de cualquier programa CGI en el sistema. Debeconocer la procedencia del programa y las funciones que realiza el programaCGI. También debe supervisar las posibilidades de los perfiles de usuario bajolos cuales está ejecutando los programas CGI y efectuar una comprobacióncon los programas CGI para determinar, por ejemplo, si puede acceder a unalínea de mandatos. Trate los programas CGI con la misma vigilancia con laque trata los programas que adoptan la autorización.

– Asimismo, debe asegurarse de evaluar los objetos confidenciales que puedentener una autorización de uso público inadecuada. En algunas ocasiones, unprograma CGI no diseñado correctamente, permite que un usuario engañosoy con los conocimientos necesarios intente vagar por el sistema.

– Utilice una biblioteca de usuario específica, por ejemplo, la CGILIB, paramantener todos los programas de CGI. Utilice la autorización sobre objetospara controlar quién puede colocar nuevos objetos en esa biblioteca y quién


puede ejecutar programas en ella. Utilice las directivas para limitar el servidorHTTP a ejecutar programas de CGI que estén en esa biblioteca.

Nota: Si el servidor proporciona varios sitios Web lógicos, quizá deseeestablecer una biblioteca para los programas CGI de cada sitio.

Otras consideraciones sobre seguridadA continuación se describen otras consideraciones sobre la seguridad:v HTTP proporciona acceso de sólo lectura al sistema iSeries.Las peticiones del

servidor HTTP no pueden actualizar ni suprimir datos directamente del sistema.No obstante, puede tener programas CGI que actualicen datos. Además puedehabilitar el programa CGI Net.Data para acceder a la base de datos del iSeries.El sistema utiliza un script (que es similar a un programa de salida) para evaluarlas peticiones para el programa Net.Data. Por consiguiente, el administrador delsistema puede controlar las acciones que puede llevar a cabo el programaNet.Data.

Nota: Antes de la V4R3, el programa DB2WWW proporcionaba la función queahora proporciona Net.Data.

v El servidor HTTP proporciona unas anotaciones cronológicas de acceso quepuede utilizar para supervisar los accesos y los intentos de acceso a través delservidor.

v La publicación HTTP Server for iSeries Webmaster’s Guide proporciona másinformación acerca de las consideraciones sobre seguridad.

Consejos de seguridad para utilizar SSL con IBM HTTP Serverpara iSeries 400

IBM HTTP Server para iSeries puede proporcionar conexiones seguras con la Webpara el iSeries. Un sitio Web seguro indica que las transmisiones entre el cliente yel servidor están cifradas (en ambas direcciones). Estas transmisiones cifradas estánprotegidas frente a los husmeadores y los que intentan capturar o modificar lastransmisiones.

Nota: Recuerde que el sitio Web seguro se aplica estrictamente a la seguridad de lainformación que pasa entre el cliente y el servidor. Su finalidad no es la dereducir la vulnerabilidad del servidor ante los piratas informáticos. Noobstante, sí limita la información que podría obtener fácilmente un supuestopirata que se dedicara a husmear.

Los temas sobre SSL y servidores Web (HTTP) del Information center proporcionaninformación completa para instalar, configurar y gestionar el proceso de cifrado.Estos temas proporcionan tanto una visión general de las características delservidor como algunas consideraciones para su utilización.

Internet Connection Server proporciona soporte http y https cuando se instala unode los siguientes programas bajo licencia:v 5722–NC1v 5722–NCE

Cuando están instaladas estas opciones, se hace referencia al producto comoInternet Connection Secure Server.

IBM HTTP Server para iSeries (5722–DG1) proporciona soporte de http y https.Debe instalar uno de los siguientes productos criptográficos para habilitar SSL:


|||||

|||||

|

||

v 5722–AC2v 5722–AC3

La seguridad que depende del cifrado tiene numerosos requisitos:v Tanto el remitente como el receptor (servidor y cliente) deben ″comprender″ los

mecanismos de cifrado y poder llevar a cabo el cifrado y el descifrado. Elservidor HTTP requiere un cliente con SSL habilitado. (Los navegadores Webmás utilizados tienen SSL habilitado). Los programas bajo licencia de cifrado deiSeries ofrecen soporte para numerosos métodos de cifrado estándar delmercado.Cuando un cliente intenta establecer una sesión segura, el servidor y elcliente negocian para localizar el método de cifrado más seguro para el queambos ofrezcan soporte.

v Un escuchador oculto no debe poder descifrar la transmisión. Así, los métodosde cifrado requieren que ambas partes dispongan de una clave privada decifrado y de descifrado que sólo conozcan ellos. Si desea tener un sitio Webexterno seguro, debería utilizar una autoridad certificadora (CA) independientepara crear y emitir certificados digitales a los usuarios y servidores. A laautoridad certificadora se la denomina interlocutor de confianza.

El cifrado protege la confidencialidad de la información transmitida. Sin embargo,para la información confidencial, por ejemplo, información económica, además dela confidencialidad, también se precisa la integridad y la autenticidad. En otraspalabras, el cliente y (opcionalmente) el servidor deben autorizar a la otra parte (através de una consulta independiente) y asegurarse de que la transmisión no se haalterado. La firma digital que proporcionan las autoridades certificadoras (CA)proporcionan estos seguros de autenticidad e integridad. El protocolo SSLproporciona autenticación mediante la verificación de la firma digital delcertificado del servidor (y, opcionalmente, del certificado del cliente).

El cifrado y el descifrado requieren tiempo de proceso, que influye en elrendimiento de las trasmisiones. Por consiguiente, el iSeries proporciona laposibilidad de ejecutar los programas para el servicio seguro y no seguro al mismotiempo.Puede utilizar el servidor HTTP no seguro para ofrecer documentos que norequieran seguridad, por ejemplo, el catálogo de productos. Estos documentosdispondrán de un URL que se inicie con http:// . Puede utilizar un servidorHTTP seguro para la información delicada, por ejemplo el formulario en el que elcliente incluye la información de su tarjeta de crédito. El programa puede atendera documentos cuyo URL empiece con http:// o con https://.

RecordatorioEs buena práctica de Internet (netiquette) informar a sus clientes cuándo sonseguras las transmisiones y cuándo no, especialmente cuando su sitio Webutilice solamente un servidor seguro en ciertos documentos.

Recuerde que el cifrado requiere un cliente y un servidor seguros. Los navegadoresseguros (clientes HTTP) son cada vez más habituales.

Seguridad de LDAP (Lightweight Directory Access Protocol)OS/400–Servicios de Directorio proporciona un servidor LDAP (LightweightDirectory Access Protocol) en iSeries 400. LDAP se ejecuta a través de Protocolo deControl de Transmisión/Protocolo Internet (TCP/IP) y está creciendo enpopularidad como servicio de directorios para aplicaciones tanto de Internet como


|

|

|

||||||||

||||||

|||||||||

||||||||||

|||||||

||

||

||||

no de Internet. La mayoría de tareas de configuración y administración delservidor de directorios LDAP se realizan en iSeries 400 mediante la interfaz gráficade usuario (GUI) del Operations Navigator de iSeries 400. Para administrar losServicios de Directorio debe tener instalado el Operations Navigator en un PC queesté conectado al iSeries. Puede utilizar Servicios de Directorio con aplicacioneshabilitadas para LDAP, por ejemplo las aplicaciones de correo que consultardirecciones de correo electrónico en los servidores LDAP.

Aparte del servidor LDAP, los Servicios de Directorio incluyen:v Un cliente LDAP. Este cliente incluye un conjunto de interfaces de programa de

aplicación (API) que puede utilizar en programas OS/400 para crear sus propiasaplicaciones de cliente. Para obtener información sobre estas API, vea la página″Servicios de Directorio″ bajo ″Programación″ en el iSeries Information Center.

v Un cliente LDAP Windows 95 y Windows NT. Este cliente incluye laHerramienta de gestión de directorios IBM SecureWay, que le proporciona unainterfaz gráfica de usuario para gestionar el contenido de los directorios.El cliente LDAP de Windows también incluye un conjunto de interfaces deprogramas de aplicación (API) que puede utilizar en sus propias aplicaciones.Para obtener más información sobre estas API, vea las páginas sobre ″Redes″ enel iSeries Information Center.El servidor LDAP que los Servicios de Directorio proporcionan es un productode Directorio IBM SecureWay.

Conceptos básicos sobre LDAPEl protocolo LDAP (Lightweight Directory Access Protocol) es un protocolo deservicios de directorio que se ejecuta a través del Protocolo de Control deTransmisión/Protocolo Internet (TCP/IP). La versión 2 de LDAP está definidaformalmente en Internet Engineering Task Force (IETF) Request for Comments(RFC) 1777, Lightweight Directory Access Protocol. La versión 3 de LDAP estádefinida formalmente en IETF RFC 2251, Lightweight Directory Access Protocol (v3).Puede ver estos RFC en Internet en el siguiente URL:

http://www.ietf.org

El servicio de directorio LDAP sigue un modelo cliente/servidor. Uno o másservidores LDAP contienen los datos del directorio. Un cliente LDAP se conecta aun servidor LDAP y realiza una petición. El servidor responde con una respuesta obien con un puntero (un referente) a otro servidor LDAP.

Usos de LDAP:

Dado que LDAP es un servicio de directorio y no una base de datos, lainformación de un directorio LDAP suele ser información descriptiva, basada enatributos. Generalmente los usuarios de LDAP se dedican más a leer lainformación del directorio que a modificarla. Las actualizaciones suelen sercambios de ″todo o nada″. Los usos más corrientes de los directorios LDAPincluyen los listines telefónicos en línea y los directorios de correo electrónico.

Estructura de directorio LDAP:

El modelo de servicio de directorio LDAP se basa en entradas (a las que tambiénse conoce como objetos). Cada entrada consta de uno o varios atributos , tales


|||||||

||||

dummyid

como un nombre o dirección y un tipo. Los tipos suelen consistir en seriesnemotécnicas, por ejemplo cn para nombre común o mail para la dirección decorreo electrónico.

El directorio de ejemplo de Figura 41 en la página 210 muestra una entrada paraTim Jones que incluye atributos mail y telephoneNumber. Otros atributos posiblesson fax, title, sn (apellido) y jpegPhoto.

Cada directorio tiene un esquema, que es un conjunto de normas que determinanla estructura y el contenido del directorio. Deberá utilizar la Herramienta degestión de directorios (DMT) de IBM SecureWay para editar los archivos deesquema para el servidor LDAP.

Nota: Encontrará copias originales de los archivos de esquema por omisión en/QIBM/ProdData/OS400/DirSrv . Si necesita sustituir los archivos deldirectorio UserData, puede copiar estos archivos en ese directorio.

Cada entrada de directorio tiene un atributo especial denominado objectClass. Esteatributo controla qué atributos son necesarios y están permitidos en una entrada.En otras palabras, los valores del atributo objectClass determinan las normas delesquema que la entrada debe obedecer.

Cada entrada de directorio tiene además los siguientes atributos operativos, que elservidor LDAP mantiene automáticamente:v CreatorsName, que contiene el DN de enlace utilizado al crear la entrada.v CreateTimestamp, que contiene la hora en que se creó la entrada.v modifiersName, que contiene el DN de enlace utilizado en la última modificación

de la entrada (inicialmente es igual que CreatorsName).v modifyTimestamp, que contiene la hora de la última modificación de la entrada

(inicialmente es igual que CreateTimestamp).

Tradicionalmente, las entradas del directorio LDAP se disponen en una estructurajerárquica que refleja límites políticos, geográficos u organizativos (vea Figura 41 enla página 210). Las entradas que representan a países aparecen en lo más alto de lajerarquía. Las entradas que representan estados u organizaciones nacionalesocupan el segundo nivel de la jerarquía. Las entradas bajo estas últimas puedenrepresentar a individuos, unidades organizativas, impresoras, documentos u otroselementos.

Al estructurar su directorio no está limitado a la jerarquía tradicional. La estructurade ″componente de dominio″, por ejemplo, está ganando en popularidad. Con estaestructura, las entradas se componen de las partes de nombres de dominio deTCP/IP. Por ejemplo, dc=ibm,dc=com puede ser preferible a o=ibm,c=us.

LDAP hace referencias a entradas con Nombres distinguidoss (DNs). Los nombresdistinguidos constan del nombre de la propia entrada así como de los nombres, delfinal al principio, de los objetos que tiene por encima en el directorio. Por ejemplo,el DN completo para la entrada del lado inferior izquierdo de Figura 41 en lapágina 210 es cn=Tim Jones, o=IBM, c=US. Cada entrada tiene al menos un atributoque se utiliza para nombrar la entrada. Este atributo de denominación se llama elNombre distinguido relativo (RDN) de la entrada. La entrada superior a un RDNdado es su Nombre distinguido padre. En el ejemplo anterior, cn=Tim Jones danombre a la entrada, por lo que es el RDN. o=IBM, c=US es el DN padre paracn=Tim Jones.


||||

|||

|

dummyid

Para otorgar a un servidor LDAP la capacidad de gestionar parte de un directorioLDAP, debe especificar los nombre distinguidos padre del nivel más alto en laconfiguración del servidor. Estos nombres distinguidos se denominan sufijos. Elservidor puede acceder a todos los objetos del directorio que se encuentran pordebajo del sufijo especificado en la jerarquía del directorio. Por ejemplo, si unservidor LDAP contiene el directorio mostrado en Figura 41, necesitaría tener elsufijo o=ibm, c=us especificado en su configuración para poder responder aconsultas de clientes relativas a ″Tim Jones″.

Notas acerca de LDAP y los Servicios de Directorio de iSeries:

v A partir de la V4R5, tanto el servidor LDAP OS/400 como el cliente LDAPOS/400 se basan en LDAP Versión 3. Puede utilizar un cliente V2 con unservidor V3. No obstante, no puede utilizar un cliente V3 con un servidor V2 amenos que enlace como cliente V2 y utilice solamente APIs de V2. Vea LDAPV2/V3 considerations para obtener más detalles.

v El cliente LDAP de Windows también se basa en LDAP Versión 3.v Dado que LDAP es un estándar, todos los servidores LDAP comparten muchas

características básicas. Sin embargo, debido a las diferencias de implementación,no son totalmente compatibles entre sí. El servidor LDAP suministrado por

Figura 41. Una estructura de directorio LDAP básica


Servicios de Directorio es bastante compatible con otros servidores de directorioLDAP del grupo de productos IBM SecureWay. No obstante, podría no ser tancompatible con otros servidores LDAP.

v Los datos para el servidor LDAP que proporcionan los Servicios de Directorioresiden en una base de datos de OS/400.

Más información:

Para ver ejemplos del uso de los directorios LDAP, consulte “Ejemplo del uso delos Servicios de Directorio”.

Para conocer más datos sobre los conceptos de LDAP, vea los Servicios deDirectorio de Red (LDAP) en el Information Center (vea “Requisitos e informaciónrelacionada” en la página xii para más detalles).

Ejemplo del uso de los Servicios de DirectorioPuede utilizar los Servicios de Directorio y sus funciones de diversas maneras. Elsiguiente ejemplo ficticio muestra solamente una de las posibles implementacionesde los servidores de directorio LDAP en iSeries.

Jonathon es el director de la Asociación de alumnos de una pequeña universidadde Minnesota. Durante mucho tiempo ha conservado un archivador coninformación sobre los nombres y direcciones de los alumnos. Ahora quieretrasladar esa información a un sistema para hacer posible que los alumnos que seencuentren en ubicaciones lejanas puedan consultar la información. Llama aMichelle del departamento de Servicios de información de la universidad y le pideayuda. Ella le explica que puede poner a punto un directorio LDAP en el mismoiSeries en el que ejecuta el servidor Web de la Asociación de alumnos.

Michelle y Jonathon planifican un directorio LDAP que incluya el país, estado ynombre de cada alumno. También incluirá la dirección de correo electrónico, ladirección postal y el número de teléfono de cada alumno. Entonces configuran elservidor de directorio LDAP de Servicios de Directorio, especificando sufijos talescomo st=MN, c=US y c=Canada, así como entradas similares para otros estados ypaíses.

A continuación, Michelle y Jonathon planifican la seguridad de su directorio LDAP.La información del servidor no es confidencial ni vital, por lo que no les preocupaque algún intruso pueda interceptar la información durante la transmisión. Porconsiguiente, deciden que no necesitan utilizar seguridad de Capa de SocketsSegura (SSL) (vea Utilización de la seguridad de Capa de Sockets Segura (SSL) con elservidor de directorio LDAP en el tema sobre Servicios de Directorio de Redes(LDAP) en el Information Center). No obstante, no quieren exponerse a un accesototalmente abierto a todos los datos del directorio. Jonathon se pone en contactocon cada alumno para ver si están dispuestos a que la información que lesconcierne esté disponible públicamente. A la mayoría no les importa, pero algunosprefieren que dicha información se mantenga en privado. Para esos usuarios,Michelle y Jonathon crean listas de control de accesos que limitan el acceso a suinformación, de forma que solamente Jonathon y otros miembros del personal dela Asociación de alumnos pueden verla o modificarla. Para obtener másinformación sobre la creación y uso de las listas de control de accesos, consulte eltema sobre Servicios de Directorio de Redes (LDAP) en el Information Center (vea“Requisitos e información relacionada” en la página xii para más detalles).

El directorio está listo para aceptar datos. Jonathon se encargará de ello. Podríautilizar los programas de utilidad shell que se incluyen con los Servicios de


|||

|||||||||||||||||

||

dummyid

dummyid

Directorio para poblar el directorio. Sin embargo no tiene mucha experiencia en eluso de interfaces de línea de mandatos, por lo que prefiere utilizar la Herramientagráfica de gestión de directorios IBM SecureWay. Con esta interfaz, Jonathon puedeañadir, buscar y modificar entradas de directorio fácilmente. Durante el veranoutiliza la Herramienta de gestión de directorios para añadir la información de loslicenciados más recientes. Mientras, Michelle utiliza las interfaces de programas deaplicación (API) incluidas con el cliente LDAP Windows para crear una interfazgráfica personalizada. Los estudiantes empleados de la Asociación de alumnospueden utilizar esta interfaz sin tener conocimiento alguno sobre la estructura deldirectorio. Cuando los estudiantes empleados vuelvan al campus en otoño,utilizarán la interfaz personalizada para añadir los alumnos restantes al directorio.

Consideraciones para utilizar LDAP V2 con LDAP V3A partir de la V4R5, tanto el servidor LDAP de OS/400 como el cliente LDAP deOS/400 se basan en LDAP Versión 3. No puede utilizar un cliente V3 con unservidor V2. No obstante, puede utilizar la API ldap_set_option() para cambiar laversión de un cliente V3 a V2. Entonces podrá enviar peticiones de cliente a unservidor V2 satisfactoriamente.

Puede utilizar un cliente V2 con un servidor V3. Tenga en cuenta que, si embargo,en una petición de búsqueda el servidor V3 puede devolver datos en el formatoUTF-8, mientras que un cliente V2 sólo puede manejar datos del juego decaracteres IA5.

Nota: La versión 2 de LDAP está definida formalmente en Internet EngineeringTask Force (IETF) Request for Comments (RFC) 1777, Lightweight DirectoryAccess Protocol. La versión 3 de LDAP está definida formalmente en IETFRFC 2251, Lightweight Directory Access Protocol (v3). Puede ver estos RFC enInternet en el siguiente URL:

http://www.ietf.org

Características de seguridad de LDAPLas características de seguridad de LDAP (Lightweight Directory Access Protocol)incluyen Capa de Sockets Segura (SSL), Listas de control de aceso y cifrado decontraseñas CRAM-MD5. En la V5R1 también se han añadido las conexionesKerberos y el soporte de auditoría de seguridad para mejorar la seguridad deLDAP.

Para obtener más información sobre estos temas, consulte el tema sobre Servicio dedirectorio de redes (LDAP) en el Information Center (vea “Requisitos einformación relacionada” en la página xii para conocer más detalles).

Consejos de seguridad para el Workstation Gateway ServerEl Workstation Gateway Server (WSG) proporciona una aplicación de TCP/IP quetransforma las aplicaciones 5250 de iSeries al Hypertext Markup Language (HTML)para su visualización dinámica en los navegadores Web.Al configurar elWorkstation Gateway Server, se controla si los usuarios ven una pantalla de iniciode sesión o si el inicio de sesión lo maneja un programa de salida.

Nota: El iSeries no ofrece una versión segura del Workstation Gateway Server.Porconsiguiente, si su programa ofrece el control al servidor WSG (por ejemplo,en los formularios rellenables), recuerde que la transmisión WSG no secifrará.


|||||||||||

|

|||||

|||

dummyid

Consejos para evitar el acceso de WSGSi no quiere que nadie utilice WSG para acceder al sistema, debe evitar elfuncionamiento del servidor WSG. Haga lo siguiente:__ Paso 1. Para evitar que los trabajos del servidor WSG se arranquen

automáticamente al arrancar TCP/IP, teclee lo siguiente:CHGWSGA AUTOSTART(*NO)

Notas:

a. AUTOSTART(*NO) es el valor por omisión.b. El atributo DSPSGN controla si el sistema puede visualizar paneles

de inicio de sesión. DSPSGN(*NO) es el valor por omisión.c. “Control de los servidores TCP/IP que se inician automáticamente”


__ Paso 2. Para evitar que WSG se arranque y evitar que alguien asocie unaaplicación de usuario, tal como una aplicación socket, con el puertoque el sistema utiliza normalmente para HTTP, haga lo siguiente:__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar



especifique la opción 1 (Añadir).__ Paso d. Para el rango del puerto más bajo, especifique 5061.__ Paso e. Para el rango del puerto más alto, especifique *ONLY.

Notas:





Consejos para controlar el acceso de WSGComo administrador de seguridad, debe conocer los objetivos del servidor WSG enel sistema y los entornos de cliente que utilizarán el servidor WSG. Por ejemplo,algunos usuarios del servidor WSG podrán ser empleados que estén de viaje y queutilicen una red interna para acceder al sistema desde dentro de un cortafuegos.Otros usuarios pueden ser visitantes anónimos del sitio WEB en que quieran pedirinformación adicional de algo que hayan visto.

Los usuarios pueden acceder al servidor WSG de las maneras siguientes:v A partir de una petición directa de un navegador de cliente.


v A partir de una petición indirecta, cuando el servidor HTTP deja el control alservidor WSG.

v A partir de una petición de conexión HTTP. Por ejemplo, un visitante de un sitioWEB puede seleccionar un área del sitio WEB que diga Envíenme informaciónadicional. El servidor HTTP puede enviar una petición al servidor WSG paravisualizar una pantalla en la que se pregunte el nombre y la dirección delvisitante.

A continuación se proporcionan una serie de consideraciones de seguridad parapermitir el funcionamiento del servidor WSG en el sistema:v Para configurar el servidor WSG, utilice el mandato Cambiar atributos de

pasarela de estación de trabajo (CHGWSGA). Este mandato necesita *IOSYSCFGautorización especial. Una configuración controla todas las sesiones WSG en elsistema. Puede especificar los valores significativos para la seguridad siguientes:– Tiempo de espera de inactividad. El servidor WSG no utiliza el valor del sistema

QINACTITV. El servidor WSG tiene su propio valor para determinar eltiempo que esperará el sistema antes de finalizar una sesión inactiva. Estevalor es particularmente importante en un entorno en el que puede tenerusuarios WSG que tengan algo más que una autorización mínima en elsistema.

– Panel de inicio de sesión. Cuando una petición de WSG viene de un navegadorde World Wide Web, este valor controla si el sistema envía la pantalla deinicio de sesión definida por el sistema. Puede utilizar un programa de salidade inicio de sesión WSG para ignorar el proceso de sesión y llevar a cabo lavalidación de usuario.A menudo, una petición del servidor WSG realiza una función específica ylimitada, tal como presentar un formulario para completarlo. La pantallaInicio de sesión no es necesaria en este entorno. En realidad la pantalla Iniciode sesión proporciona una oportunidad para los “piratas informáticos” queno existe cuando el programa de salida ignora el inicio de sesión y utiliza unperfil de usuario con una autorización muy limitada. En su lugar, ignore lapantalla de Inicio de sesión y ejecute WSG bajo un perfil de usuario quetenga autorización limitada en su sistema.

– Registro cronológico de acceso. Puede resultar útil que el sistema lleve unregistro de los accesos al servidor WSG, particularmente cuando proporcioneuna aplicación nueva.

v Algunas peticiones del servidor WSG incluyen un ID de usuario y unacontraseña. Se da la misma problemática que con los scripts de conexión SLIP.La seguridad depende de las prácticas y posibilidades de los comunicantes. Si elID de usuario y la contraseña se almacenan en un documento en el cliente, seránaccesibles a intrusos potenciales en el sistema. Además, cuando la sesión WSG esuna sesión no segura (Internet), la contraseña y el ID de usuario están sujetos ahusmeo.

v Puede utilizar el valor del sistema QLMTSECOFR como un método para limitarla posibilidad de los usuarios WSG. Cuando el valor de QLMTSECOFR es 1,puede evitar que cualquier usuario con autorización especial *ALLOBJ inicie lasesión en las estaciones de trabajo virtuales WSG, a menos que el usuario oQSECOFR tengan autorización explícita.

v Recuerde que iSeries no proporciona un servidor WSG seguro.Por consiguiente,aunque el Internet Connection Secure Server pase una petición al servidor WSG,la transmisión de WSG no es segura (cifrada).


Consejos de seguridad para el Daemon de impresora de líneasEl LPD (daemon de impresora de líneas) proporciona la posibilidad de distribuir lasalida de impresora para el sistema. El sistema no realiza ningún proceso de iniciode sesión para LPD.

Consejos para evitar el acceso de LPDSi no quiere que nadie utilice LPD para acceder al sistema, debe evitar quefuncione el servidor LPD. Haga lo siguiente:__ Paso 1. Para evitar que los trabajos del servidor LPD se arranquen

automáticamente al arrancar TCP/IP, teclee lo siguiente:CHGLPDA AUTOSTART(*NO)

Notas:



__ Paso 2. Para evitar que alguien asocie una aplicación de usuario, tal como unaaplicación socket, con el puerto que el sistema utiliza normalmentepara LPD, haga lo siguiente:__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar




Notas:





__ Paso h. Repita los pasos del 2c al 2g para el protocolo *UDP.

Consejos para controlar el acceso de LPDSi quiere permitir a los clientes de LPD que accedan al sistema tenga en cuenta loselementos de seguridad siguientes:v Para evitar que un usuario llene el sistema con objetos no deseados, asegúrese

de establecer límites de umbral adecuados para las agrupaciones de


almacenamiento auxiliar (ASP). Puede visualizar y establecer los umbrales paralas ASP utilizando las herramientas de servicio del sistema (SST) o lasherramientas de servicio dedicado (DST). La publicación Copia de seguridad yrecuperación proporciona más información acerca de los umbrales de ASP.

v Puede utilizar la autorización sobre las colas de salida para restringir quiénpuede enviar archivos en spool al sistema. Los usuarios de LPD sin un ID deusuario de iSeries utilizan el perfil de usuario QTMPLPD. Puede dar acceso aeste perfil de usuario únicamente a unas pocas colas de salida.

Consejos de seguridad para el Protocolo simple de gestión de redEl iSeries 400 puede actuar como un agente del Protocolo simple de gestión de red(SNMP) en una red. El SNMP proporciona un medio para gestionar las pasarelas,direccionadores y sistemas principales de un entorno de red. Un agente SNMPrecoge información acerca del sistema y realiza las funciones que solicitan losgestores remotos de la red SNMP.

Consejos para evitar el acceso SNMPSi no quiere que nadie utilice SNMP para acceder al sistema, debe evitar elfuncionamiento del servidor SNMP. Haga lo siguiente:__ Paso 1. Para evitar que los trabajos servidores SNMP se arranquen

automáticamente al arrancar TCP/IP, teclee lo siguiente:CHGSNMPA AUTOSTART(*NO)

Notas:



__ Paso 2. Para evitar que alguien asocie una aplicación de usuario, tal como unaaplicación socket, con el puerto que el sistema utiliza normalmentepara SNMP, haga lo siguiente:__ Paso a. Teclee GO CFGTCP para visualizar el menú Configurar




Notas:




de perfil de usuario protegido en el sistema. (Los perfilesde usuario protegidos no son propietarios de programasque adoptan autorización y no tienen contraseñas


conocidas por otros usuarios.) Restringiendo el puerto aun usuario específico, excluye automáticamente a todos losdemás usuarios.

__ Paso h. Repita los pasos del 2c al 2g para el protocolo *UDP.

Consejos para controlar el acceso de SNMPSi quiere permitir que los gestores de SNMP accedan al sistema tenga en cuenta loselementos de seguridad siguientes:v Alguien que pueda acceder a la red con SNMP puede reunir información acerca

de la red. La información que ha ocultado utilizando seudónimos y un servidorde nombres de dominio está disponible para el supuesto intruso a través deSNMP. Además, un intruso puede utilizar SNMP para modificar la configuraciónde la red y destruir las comunicaciones.

v SNMP confía en un nombre de comunidad para el acceso. En teoría, el nombrede comunidad es similar a una contraseña. El nombre de comunidad no estácifrado. Por consiguiente, es vulnerable al husmeo. Utilice el mandato Añadircomunidad para SNMP (ADDCOMSNMP) para establecer el parámetro dedirección Internet del gestor (INTNETADR) como una o varias direcciones IPespecíficas en lugar de *ANY. También puede establecer el parámetro OBJACCde los mandatos ADDCOMSNMP o CHGCOMSNMP en *NONE, para evitarque los gestores de una comunidad accedan a objetos MIB. Esto está pensadopara hacerse sólo temporalmente, para denegar el acceso a los gestores de unacomunidad sin eliminar la comunidad.

Consejos de seguridad para el servidor INETDAl contrario que la mayoría de los servidores TCP/IP, el servidor INETD noproporciona un único servicio a los clientes, sino que proporciona servicios variosque los administradores pueden personalizar. Por ese motivo, al servidor INETD sele conoce a veces como ″el superservidor″. El servidor INETD tiene incorporadoslos siguientes servicios:v timev daytimev echov discardv changed

Estos servicios están soportados para TCP y para UDP. Para UDP, los serviciosecho, time, daytime y changed reciben paquetes UDP y, a continuación devuelvenlos paquetes al originador. El servidor echo server devuelve los paquetes querecibe, los servidores time y daytime generan la hora en un formato específico y lodevuelven y el servidor changed genera un paquete de caracteres ASCIIimprimibles y lo devuelven.

La naturaleza de estos servicios UDP hace al sistema vulnerable a ataques dedenegación de servicio. Por ejemplo, supongamos que tiene dos sistemas iSeries400: SYSTEMA y SYSTEMB. Un programador malintencionado podría falsificar lacabecera IP y la cabecera UDP con una dirección de origen de SYSTEMA y unnúmero de puerto UDP del servidor time. Entonces podría enviar ese paquete alservidor time en el SYSTEMB, que enviará la hora al SYSTEMA, que volverá aresponder al SYSTEMB, y así sucesivamente, generando un bucle continuo yconsumiendo recursos de CPU en ambos sistemas, así como el ancho de banda dela red.


Por consiguiente, deberá tener en cuenta el riesgo de un ataque de este tipo en susistema iSeries y ejecutar estos servicios solamente en una red segura. El servidorINETD se envía definido para que no se inicie automáticamente al iniciar TCP/IP.Puede configurar si se iniciarán los servicios o no al iniciarse INETD. Por omisión,los servidores time y daytime de TCP y UDP se inician al iniciar el servidorINETD.

Existen dos archivos de configuración para el servidor INETD:/QIBM/UserData/OS400/inetd/inetd.conf/QIBM/ProdData/OS400/inetd/inetd.conf

Estos archivos determinan qué programas deben iniciarse cuando se inicia elservidor INETD. También determinan bajo qué perfil de usuario se ejecutan estosprogramas cuando INETD los inicias.

Nota: El archivo de configuración en proddata no debe modificarse nunca. Sesustituye cada vez que vuelve a cargarse el sistema. Los cambios en laconfiguración de clientes sólo deberán colocarse en el archivo del árbol dede directorios userdata, ya que dicho archivo no se actualiza durante lasactualizaciones de release.

Si un programador malintencionado accediera a estos archivos, podríaconfigurarlos para iniciar cualquier programa al iniciarse INETD. Por consiguiente,es de suma importancia proteger estos archivos. Para realizar cambios en ellos,requieren por omisión la autorización especial QSECOFR. No debe reducir laautorización necesaria para acceder a ellos.

Nota: No modifique el archivo de configuración del directorio ProdData. Esearchivo se sustituye cada vez que se vuelve a cargar el sistema. Los cambiosen la configuración de clientes sólo deberán colocarse en el archivo del árbolde directorios UserData, ya que dicho archivo no se actualiza durante lasactualizaciones de release.

Consejos para limitar la posibilidad de vagar por la red con TCP/IPSi el sistema está conectado a una red, querrá limitar las posibilidades del usuariopara vagar por la red con las aplicaciones TCP/IP. Una forma de hacerlo esrestringir el acceso a los siguientes mandatos TCP/IP de cliente:

Nota: Estos mandatos pueden existir en numerosas bibliotecas del sistema. Seencuentran tanto en la biblioteca QSYS como en la biblioteca QTCP, comomínimo. Asegúrese de localizar y asegurar todas las ocurrencias.

v STRTCPFTPv FTPv STRTCPTELNv TELNETv LPRv SNDTCPSPLFv RUNRMTCMD (cliente REXEC)

Los posibles destinos del usuario están determinados por lo siguiente:v Entradas en la tabla del sistema principal TCP/IP.


v La entrada *DFTROUTE en la tabla de ruta TCP/IP. Esto permite a los usuariosentrar la dirección IP del sistema del salto siguiente cuando su destino es unared desconocida. Un usuario puede alcanzar o poner en contacto una red remotautilizando la ruta por omisión.

v Configuración del servidor de nombre remoto. Este soporte permite a otroservidor de la red ubicar nombres de sistemas principales para los usuarios.

v Tabla del sistema remoto.

Necesita controlar quién puede añadir entradas a estas tablas y cambiar laconfiguración. También necesita entender las implicaciones de sus entradas detabla y de su configuración.

Tenga en cuenta que un usuario experimentado con acceso a un compilador ILE Cpuede crear un programa socket que se conecte a un puerto TCP o UDP. Puededificultar esta operación restringiendo el acceso a los archivos de interfaz de socketde la biblioteca QSYSINC:v SYSv NETINETv Hv ARPAv sockets y SSL

En los programas de servicio, se puede restringir el uso de sockets y aplicacionesSSL (que ya estén compiladas), restringiendo el uso de los siguientes programas deservicio:v QSOSRV1v QSOSRV2v QSOSKIT(SSL)v QSOSSLSR(SSL)

Los programas de servicio se entregan con autorización de uso público *USE,aunque la autorización se puede cambiar por *EXCLUDE (u otro valor).

Consejos para la seguridad del programa bajo licencia Soporte deservidor de archivos TCP/IP para OS/400

Atención para los usuarios de la V3R7 y V4R1El sistema de archivos de red (NFS) del sistema de archivos integradosustituye la función del programa bajo licencia Soporte de servidor dearchivos TCP/IP para OS/400. Vea “Consejos de seguridad para el sistema dearchivos de red” en la página 144 para obtener más información.

Cuando se tiene el programa bajo licencia Soporte de servidor de archivos TCP/IPpara OS/400, el sistema iSeries puede actuar como un servidor de archivos paraotros sistemas de una red TCP/IP.Un sistema cliente puede “montar” un directoriode iSeries como si fuera un directorio local.La biblioteca QSYS que incluye todaslas bibliotecas del sistema iSeries puede tener el aspecto de un directorio ysubdirectorios en el sistema cliente.

En gran parte, el producto Soporte de servidor de archivos descansa sobre lasposibilidades del sistema cliente para controlar el acceso a los recursos deliSeries.Si es un administrador de seguridad del iSeries con el producto instalado enel sistema, debe revisar la documentación del producto para comprender lasfunciones que proporciona y las implicaciones de seguridad.Con la configuración


enviada para el Soporte de servidor de archivos, los recursos del sistema sonvulnerables a la utilización no intencionada por parte de usuarios del Soporte deservidor de archivos.

A continuación se proporcionan algunas sugerencias para proteger el sistemaiSeries cuando Soporte de servidor de archivos TCP/IP para OS/400 está instalado:v Elimine todas las entradas de perfil de usuario de nivel de raíz de la tabla de

exportación y de la tabla de usuarios autorizados. No permita que el perfil quefigura en el sistema cuando éste es entregado Q7FSOWN, tenga autorizaciónraíz. En otros sistemas que pueden ser sistemas cliente para el Soporte deservidor de archivos, es posible definir un usuario que pretenda tenerautorización raíz. Necesita proteger el sistema de esto.

v Para los archivos de base de datos de configuración para Soporte de servidor dearchivos, establezca el valor de las posibilidades de base de datos en *NO paratodos los atributos excepto *READ. Esto protege el contenido de los archivos debase de datos de Soporte de servidor de archivos de cambios no autorizados almargen de los mandatos y de las interfaces de menú que forman parte delproducto.

v Configure el sistema para que rechace peticiones que no tengan unaidentificación de usuario (ID de usuario) explícitamente especificada. No permitaque tales peticiones utilicen un usuario por omisión.

v Revise las entradas de la tabla de exportación para asegurarse de que cumplencon los requisitos de seguridad. Considere la eliminación de todas las entradaspor omisión proporcionadas con el producto y la preparación de solamenteaquellas entradas que sepa que no serán causa de un riesgo para la seguridad.

v Para los mandatos CL que arrancan y detienen la función Soporte de servidor dearchivos, establezca la autorización de uso público en *EXCLUDE. Esto permitecontrolar cuando el entorno Soporte de servidor de archivos está activo y quiénpuede activarlo. Otorgue autorización sólo a los administradores de confianzadel sistema.

v Al añadir entradas a la tabla de exportación, en la mayoría de los casos deberíaestablecer el permiso de grabación y el acceso a raíz en *NO. Utilice con cuidadootros valores. Puede cambiar los valores por omisión del mandato por *NO paraayudarle a evitar equivocaciones.

v Existen riesgos de seguridad potenciales graves en el caso de que el sistemaiSeries sea un servidor para un cliente que no proteja el uid raíz con unacontraseña no trivial.

Utilización de VPN para asegurar las aplicaciones TCP/IPA partir de la V4R4, puede utilizar las redes privadas virtuales (VPN) paraproteger de forma selectiva alguna o todas sus aplicaciones TCP/IP. Vea elapartado Iniciación a las Redes privadas virtuales (VPN) iSeries 400 en el InformationCenter para obtener más información sobre las VPN y su funcionamiento.


|

RZAJAGETSTART.HTM

Capítulo 15. Consejos para la seguridad del PC

Muchos usuarios del sistema tienen un PC en la mesa como estación de trabajo.Utilizan herramientas que funcionan en el PC y utilizan el PC para conectarse aliSeries.

La mayoría de los métodos de conexión de un PC al iSeries proporcionan másfuncionalidad que la emulación de estación de trabajo.El PC puede parecer unapantalla de iSeries y proporcionar al usuario sesiones de inicio de sesióninteractivas.Además, el PC puede parecer otro sistema para el iSeries yproporcionar funciones tales como transferencia de archivos y llamada deprocedimiento remoto.

Como administrador de seguridad del iSeries, necesita tener en cuenta lo siguiente:v las funciones disponibles para los usuarios de PC que están conectados al

sistema,v los recursos del iSeries a los que pueden acceder los usuarios de PC.

Querrá evitar funciones avanzadas de PC (tales como transferencia de archivos yllamada de procedimiento remoto), si el esquema de seguridad del iSeries no estápreparado todavía para tales funciones.Probablemente el objetivo a largo plazo seapermitir las funciones avanzadas de PC mientras se protege la información delsistema. En los temas siguientes se tratan ciertos elementos de seguridad asociadosal acceso de PC.

Consejos para evitar los virus en el PCEn este apartado se sugieren métodos para que los administradores de seguridadpuedan proteger los PC ante los virus.

Consejos para la seguridad del acceso a datos desde PCParte del software de cliente PC utiliza carpetas compartidas para almacenarinformación en el iSeries. Para acceder a los archivos de la base de datos deliSeries, el usuario de PC tiene un conjunto limitado, bien definido de interfaces.Con la posibilidad de transferencia de archivos que forma parte de la mayoría delsoftware cliente/servidor, el usuario de PC puede copiar archivos entre el sistemaiSeries y el PC.Con la posibilidad de acceso a base de datos, tal como un archivoDDM, SQL remoto, o un controlador ODBC, el usuario de PC puede acceder a losdatos del sistema iSeries.

En este entorno puede crear programas para interceptar y evaluar peticiones deusuario de PC para acceder a los recursos del iSeries. Cuando las peticionesutilizan un archivo DDM, especifique el programa de salida en el atributo de redAcceso a la gestión de datos distribuidos (DDMACC). Para algunos métodos detransferencia de archivos de PC se especifica el programa de salida en el atributode red Acceso de petición de cliente (PCSACC). O bien puede especificarPCSACC(*REGFAC) para utilizar la función de registro. Cuando las peticionesutilizan otras funciones del servidor para acceder a los datos, puede utilizar elmandato WRKREGINF para registrar los programas de salida para tales funcionesdel servidor.


||||||||

Los programas de salida, sin embargo, pueden ser difíciles de diseñar y en rarasocasiones son infalibles. Los programas de salida no son una sustitución de laautorización de objetos, que está diseñada para proteger los objetos del acceso noautorizado de cualquier fuente.

Parte del software de cliente, por ejemplo, el cliente Client Access AS/400 paraWindows 95/NT, utiliza el sistema de archivos integrado para almacenar y accedera los datos del iSeries. Con el sistema de archivos integrado, todo el iSeries resultamás fácilmente disponible para los usuarios de PC.La autorización sobre objetos sevuelve incluso más importante. A través del sistema de archivos integrado, unusuario con la autorización suficiente puede ver una biblioteca de iSeries como sifuera un directorio de PC.Mediante mandatos simples de movimiento y de copiase pueden mover datos instantáneamente de una biblioteca del iSeries a undirectorio de PC o viceversa.El sistema hace automáticamente los cambiosadecuados en el formato de los datos.

Notas:

1. Puede utilizar una lista de autorizaciones para controlar la utilización deobjetos en el sistema de archivos QSYS.LIB. Consulte el apartado “Restriccióndel acceso al sistema de archivos QSYS.LIB” en la página 140 para obtener másinformación.

2. En el “Capítulo 12. Utilización del Sistema de Archivos Integrado (IFS) paraproteger los archivos” en la página 133 se proporciona más información acercade los temas de seguridad con el sistema de archivos integrado.

La fortaleza del sistema de archivos integrado es su simplicidad para usuarios yprogramadores. Con una sola interfaz, el usuario puede trabajar con objetos envarios entornos. El usuario de PC no necesita software o API especiales paraacceder a los objetos. En lugar de eso, el usuario de PC puede utilizar mandatos dePC conocidos o “seleccionar y pulsar” para trabajar directamente con los objetos.

Para todos los sistemas que tengan PC conectados, pero especialmente para lossistemas con software de cliente que utilice el sistema de archivos integrado,resulta decisivo un buen esquema de autorización sobre objetos. Debido a que laseguridad está integrada en el OS/400, cualquier petición para acceder a los datosdebe pasar a través del proceso de comprobación de autorización. Lacomprobación de autorización se aplica a las peticiones de cualquier fuente y parael acceso a datos que utilicen cualquier método.

Autorización sobre objetos con acceso desde PCAl configurar la autorización sobre objetos, es necesario evaluar lo que laautorización proporciona al usuario de PC. Por ejemplo, cuando un usuario tieneautorización *USE sobre un archivo, el usuario puede ver o imprimir datos en elarchivo. El usuario no puede cambiar la información del archivo ni suprimirlo.Para el usuario de PC, ver es equivalente a “leer”, lo cual proporciona al usuarioautorización suficiente para hacer una copia de un archivo en el PC. Este no seráprobablemente el objetivo pretendido.

En el caso de algunos archivos de gran importancia, necesitará establecer laautorización de uso público en *EXCLUDE para evitar que los copien en el PC.Puede proporcionar entonces otro método para “ver” el archivo en el iSeries, talcomo utilizar un menú y programas que adopten la autorización.

Otra opción para evitar la copia de archivos es utilizar un programa de salida quese ejecute siempre que un usuario de PC arranque una función del iSeries (que no


sea el inicio de sesión interactivo).Puede especificar un programa de salida en elatributo de red PCSACC utilizando el mandato Cambiar atributo de red(CHGNETA). O puede registrar programas de salida utilizando el mandatoTrabajar con información de registro (WRKREGINF). El método que utilicedependerá del modo en que los PC accedan a los datos del sistema y del programacliente que utilicen los PC. El programa de salida (QIBM_QPWFS_FILE_SERV) esaplicable al acceso al IFS desde Client Access y Net Server. No evita el accesodesde un PC con otros mecanismos, como FTP u ODBC.

Normalmente, el software del PC proporciona la posibilidad de subir, de formaque un usuario pueda copiar datos de un PC a un archivo de base de datos deliSeries.Si no ha configurado correctamente el esquema de autorizaciones, unusuario de PC puede recubrir todos los datos de un archivo con datos desde unPC. Debe asignar la autorización *CHANGE cuidadosamente. Revise el ApéndiceD de la publicación iSeries Security Reference para comprender la autorizaciónnecesaria para operaciones de archivo.

El iSeries Information Center proporciona más información sobre la autorizaciónpara las funciones de PC y sobre la utilización de programas de salida. Vea“Requisitos e información relacionada” en la página xii para obtener más detalles.

Administración de aplicaciones de Client AccessLa Administración de aplicaciones es un componente del Operations Navigatorinstalable opcionalmente, la interfaz gráfica de usuario (GUI) para iSeries 400. LaAdministración de aplicaciones permite a los administradores del sistema controlarlas funciones o las aplicaciones disponibles para otros usuarios y grupos en uniSeries específico. Esto incluye el control de las funciones disponibles para losusuarios que a sus iSeries a través de clientes. Es importante destacar aquí que, siaccede al iSeries desde un cliente Windows, será el usuario del iSeries y no elusuario de Windows el que determine qué funciones están disponibles para laadministración.

Para obtener una documentación completa sobte la Administración de aplicacionesdel Operations Navigator, seleccione Operations Navigator en la barra denavegación principal del Information Center, a la izquierda.

Administración de políticas de Client AccessAdministración de políticas

Las políticas son una herramienta para que la utilicen los administradores alconfigurar software en sus PC cliente. Las políticas pueden restringir las funcionesy aplicaciones a las que puede acceder un usuario en el PC. Las políticas tambiénpueden sugerir o imponer configuraciones para que las utilicen determinadosusuarios o determinados PC.

Nota: Las políticas no ofrecen control sobre los recursos de iSeries 400. Laspolíticas no son un sustituto de la seguridad de iSeries. Las políticas puedenutilizarse para afectar a la forma en que Client Access Express accede aliSeries desde un PC concreto, por parte de un usuario concreto. No obstante,no cambian la manera en que se accede a los recursos del iSeries 400 através de otros mecanismos.

Las políticas se almacenan en un servidor de archivos. Cada vez que el usuarioinicia la sesión en la estación de trabajo Windows, las políticas aplicables a ese

Capítulo 15. Consejos para la seguridad del PC 223

|||

usuario de Windows se bajan desde el servidor de archivos. Las polícitcas seaplican al registro antes de que el usuario lleve a cabo acción alguna en la estaciónde trabajo.

Las políticas de Microsoft frente a la Administración de aplicaciones

Client Access Express soporta dos estrategias distintas para implementar el controlde administración dentro de su red: Las políticas del sistema Microsoft y laAdministración de aplicaciones del Operations Navigator. Tenga en cuenta losiguiente al decidir qué estrategia se ajusta mejor a sus necesidades.

Políticas del sistema Microsoft

Las políticas son reguladas por el PC, no dependen de los releases específicos delOS/400. Las políticas pueden ser aplicables a los PC, así como a los usuarios deWindows. Esto significa que los usuarios se refieren al perfil de usuario deWindows, no al perfil de usuario del iSeries. Las políticas pueden utilizarse para″configurar″, así como para restringir. Por lo general, las políticas pueden ofrecermás granularidad que la Administración de aplicaciones y pueden ofrecen unmayor rango de funciones. Esto se debe a que no es necesaria la conexión con elsistema iSeries para determinar si el usuario puede utilizar o no la función. Laimplementación de políticas es más complicada que la implementación de laAdministración de aplicaciones debido a que es necesario el uso del editor depolíticas del sistema Microsoft y los PC deben configurarse individualmente parabajar las políticas.

Administración de aplicaciones de Operations Navigator

La Administración de aplicaciones asocia datos con el perfil de usuario del iSeries,en lugar del perfil de Windows con el que se asocian las políticas del sistemaMicrosoft. Aunque es necesario un iSeries 400 de la V4R3 o posterior para poderutilizar la Administración de aplicaciones, algunas funciones solamente estándisponibles en la V4R4 o posteriores. Algunas funciones específicas de ClientAccess pueden restringirse utilizando la Administración de aplicaciones en laV4R4, por ejemplo Transferencia de datos, ODBC y OLE DB. Utilizando políticastendrá más granularidad disponible, pero la Administración de aplicaciones es deuso más fácil ya que no implica una puesta a punto complicada. LaAdministración de aplicaciones utiliza la interfaz gráfica de usuario del OperationsNavigator para administrar, lo que resulta más fácil que utilizar el editor depolíticas. La información de la Administración de aplicaciones se aplica al usuario,independientemente del PC desde el que se conecte. Pueden restringirse funcionesconcretas dentro del Operations Navigator. La Administración de aplicaciones espreferible si todas las funciones que desea restringir están habilitadas para laAdministración de aplicaciones y si la versión de OS/400 que se utiliza soporta laAdministración de aplicaciones.

Utilización de SSL con Client Access ExpressPara obtener información sobre el uso de Client Access Express con SSL, revise lostemas del iSeries Information Center Secure Sockets Layer Administration, SecuringClient Access Express and Operations Navigator, iSeries 400 Developer Kit for Java yiSeries 400 Java Toolbox bajo el tema principal Java. También puede revisar estainformación en el CD suministrado con el sistema.


|||||

Seguridad y Operations NavigatorEl Operations Navigator proporciona una interfaz al iSeries de fácil uso para losusuarios que tienen Client Access. Con cada release nuevo de OS/400, es posibleacceder a más funciones del iSeries a través de Operations Navigator.

Una interfaz de fácil manejo proporciona muchas ventajas, lo que incluye un costebajo de soporte técnico y una imagen mejorada para el sistema. También suponeretos en la seguridad. Como administrador de seguridad ya no puede confiar en laignorancia de los usuarios para proteger los recursos. Operations Navigatorconvierte muchas funciones en funciones sencillas y visibles para los usuarios.Debe asegurarse de diseñar e implementar políticas de seguridad para los perfilesde usuario y la seguridad de objetos para cumplir las necesidades de seguridad.

La Versión 4 Release 4 Modificación 0 de iSeries Client Access Express paraWindows proporciona los siguientes métodos para controlar las funciones que losusuarios pueden llevar a cabo mediante el Operations Navigator:v Instalación selectivav Administración de aplicacionesv Soporte de Política del sistema Windows NT

El Operations Navigator viene empaquetado como múltiples componentes en laV4R4, que puede instalar por separado. Ello le permitirá instalar sólo las funcionesque necesite. La administración de aplicaciones permite a los administradorescontrolar las funciones a las que un usuario o un grupo pueden acceder medianteel Operations Navigator. La administración de aplicaciones organiza lasaplicaciones en las siguientes categorías:

iSeries 400 Operations NavigatorIncluye el Operations Navigator y conectores adicionales.

Aplicaciones de clienteIncluye todas las demás aplicaciones de cliente, incluido Client AccessExpress, que proporcionan funciones en los clientes administradosmediante la Administración de aplicaciones.

Aplicaciones de sistema principalIncluye todas las aplicaciones que residen por completo en el iSeries y queproporcionan funciones administradas mediante la Administración deaplicaciones.

Puede utilizar la instalación selectiva, administración de aplicaciones y políticaspara limitar las funciones de Operations Navigator a las que podrá acceder unusuario. Ninguna de ellas, no obstante, debe utilizarse para la seguridad porrecursos.

A partir de la V4R4, iSeries Client Access Express para Windows también soportael uso del Editor de políticas del sistema de Windows NT para controlar quéfunciones pueden llevarse a cabo desde un cliente PC concreto, sin tener en cuentaquén esté utilizando ese PC.

Consulte el iSeries Information Center para obtener información adicional sobre lainstalación selectiva, la Administración de aplicaciones y la Administración depolíticas. El apartado “Acceso limitado a las funciones del programa” en lapágina 16 de este manual también trata la administración de aplicaciones.


Consejos para el acceso de ODBC (conectividad de base de datosabierta)

Conectividad de base de datos abierta (ODBC) es una herramienta que puedenutilizar las aplicaciones de PC para acceder a los datos del iSeries como si fuerandatos de PC.El programador de ODBC puede hacer que la ubicación física de losdatos sea transparente al usuario de la aplicación del PC. A continuación sedetallan varias consideraciones acerca de la seguridad cuando las aplicaciones deODBC tienen acceso al iSeries:v Cuando los PC conectados tienen aplicaciones de ODBC que acceden a los datos

del iSeries, es esencial disponer de un buen esquema de autorizaciones.Sinembargo, puede que la autorización sobre objetos no proporcione protecciónsuficientemente detallada para los datos. Por ejemplo, querrá evitar que losusuarios cambien datos en el archivo FILEB excepto cuando utilicen unprograma específico (PGMX).Para las aplicaciones que se ejecutan directamente en el iSeries, como unprograma RPG o COBOL, puede utilizar autorización adoptada para controlarcómo los usuarios actualizan los archivos de base de datos. Por ejemplo,suponga que los usuarios públicos tienen autorización *USE sobre FILEA, perociertos usuarios están autorizados al programa PGMX. PGMX adopta suautorización de propietario, que permite que los usuarios cambien el archivo alejecutar el programa PGMX.Cuando se tienen aplicaciones ODBC sobre PC conectados, se pueden utilizarprocedimientos almacenados para proporcionar un nivel parecido de controlsobre quién puede actualizar datos. Un procedimiento almacenado puede ser unobjeto de programa iSeries que adopte una autorización.La aplicación de ODBCpuede enviar peticiones para actualizar datos al procedimiento almacenado enlugar de acceder directamente al archivo. Por lo tanto, los usuarios de PC nonecesitan tener autorización para cambiar los archivos. Puede dar a usuariosespecíficos de PC autorización para utilizar el programa (procedimientoalmacenado) que actualiza el archivo.Cuando se utilizan procedimientos almacenados en lugar de accederdirectamente a los datos con las aplicaciones de ODBC, también debe manteneren privado la estructura de la base de datos del iSeries y la arquitectura de lasaplicaciones.Cuando es necesario que los programadores de ODBC utilicenprocedimientos almacenados, los programadores no pueden utilizar unprograma espía de ODBC para supervisar el acceso a la base de datos. Esto hacemás difícil para un programador de ODBC realizar ingeniería inversa con eldiseño de la base de datos, o bien con el diseño de la aplicación.

v Cuando un usuario solicita el acceso a una base de datos utilizando ODBC,puede configurar los programas de salida para que supervisen (y aprueben orechacen) la petición. Los puntos de salida siguientes están disponibles para laspeticiones de ODBC:– QIBM_QZDA_NDB1, QIBM_QZDA_SQL1 y QIBM_QZDA_SQL2 controlan el

acceso de sólo lectura a los archivos de base de datos.– Durante la inicialización del servidor (cuando se hace la conexión de ODBC),

el sistema llama al programa QIBM_QZDA_INIT. Puede utilizar este punto desalida para validar una sesión y configurar el entorno para esa sesión. Porejemplo, puede arrancar un gobernador de consultas durante la inicializaciónpara limitar las consultas de larga ejecución.


– Cuando un usuario solicita una operación que afecta a todo un archivo (talcomo suprimir o borrar un archivo), el sistema llama al programaQIBM_QZDA_NDB1. Puede utilizar el programa de salida para aceptar orechazar estas peticiones.

– Cuando una aplicación ODBC envía una petición de Lenguaje de consultaestructurada (SQL), el sistema llama a los programas QIBM_QZDA_SQL1 yQIBM_QZDA_SQL2. El programa de salida puede evaluar la petición ydeterminar si permite la petición específica. Por ejemplo, la petición puedeconsistir en ver un conjunto de registros o en añadir o suprimir registros deun archivo de la base de datos.

– Cuando el sistema recibe una petición de información acerca de la estructurade base de datos (una petición de catálogo), el sistema llama al programaQIBM_QZDA_ROI1 program.—Tenga en cuenta que el servidor de bases dedatos IBM utiliza estos puntos de salida. Los controladores de ODBC deliSeries de otros proveedores no utilizaran probablemente los mismos puntosde salida. Pueden proporciona su propio servidor o bien pueden utilizarDRDA (Acceso a base de datos relacional distribuida) para acceder al iSeries400. Las peticiones de DRDA llegan a través de DDM (Gestion de base dedatos distribuida). A partir de la V4R3, si el punto de salida de DDM tiene unprograma definido, se llamará a dicho programa en una conexión DRDA. Lossiguientes PTF habilitan esta función en la V4R1 y la V4R2:VRM410 SF46018 VRM420 SF46017

Se puede definir un programa de salida para DDM mediante el mandatoCHGNETA (Cambiar atributos de red), y especificando un nombre deprograma en el parámetro DDMACC.

v El iSeries Information Center contiene temas que le ayudarán a usted y losprogramadores de ODBC a comprender los aspectos de seguridad de lasaplicaciones de ODBC. Vea “Requisitos e información relacionada” en lapágina xii para obtener más detalles.

v Existen dos APAR informativos disponibles que tratan acerca de la seguridad deODBC: II09333 y II09334. La información de ambos APAR está escrita desde laperspectiva del programador de ODBC que no está familiarizado con lasposibilidades del iSeries.Como administrador de seguridad puede proporcionarestos APAR informativos a los programadores de ODBC para ayudarles aentender los elementos de seguridad y las soluciones posibles. La informaciónde estas APAR debe ser de utilidad para salvar el hueco terminológico existenteentre el entorno del iSeries y el entorno de ODBC y PC.

Consideraciones de seguridad sobre las contraseñas de sesión de PCNormalmente, cuando un usuario de PC arranca el software de conexión, como elClient Access, el usuario teclea una vez el ID de usuario y la contraseña delservidor. La contraseña se cifra y se almacena en la memoria del PC. Siempre queel usuario establezca una nueva sesión con el mismo servidor, el PC envíaautomáticamente el ID de usuario y la contraseña.

Parte del software de cliente/servidor proporciona también la opción de ignorar lapantalla de inicio de sesión para sesiones interactivas. El software enviará el ID deusuario y la contraseña cifrada cuando el usuario arranque una sesión interactiva(emulación 5250). Para soportar esta opción, el valor del sistema QRMTSIGN delservidor del iSeries debe establecerse en *VERIFY.

Cuando se elige permitir que se ignore la pantalla Inicio de sesión, debe tener encuenta las contrapartidas en la seguridad.


||||

Riesgo de seguridad cuando se solicita la pantalla de inicio de sesión: Para laemulación 5250 o cualquier otro tipo de sesión interactiva, la pantalla Inicio desesión es la misma que cualquier otra pantalla. A pesar de que cuando se teclea lacontraseña no se visualiza en la pantalla, la contraseña se envía a través del enlacesin cifrar igual que cualquier otro campo de datos. Para algunos tipos de enlace,esto puede proporcionar a un futuro intruso la oportunidad de supervisar el enlacey detectar un ID de usuario y una contraseña. La supervisión de un enlaceutilizando equipo electrónico se denomina a menudo rastreo. A partir de la V4R4,puede utilizar la capa de sockets segura (SSL) para cifrar las comunicaciones entreClient Access Express y el servidor iSeries 400. Así se protegen los datos, incluidaslas contraseñas, contra el husmeo.

Riesgo de seguridad al ignorar la pantalla de inicio de sesión: Cuando se elige laopción de ignorar la pantalla Inicio de sesión, el PC cifra la contraseña antes deenviarla. El cifrado evita la posibilidad de que se robe una contraseña mediante latécnica del rastreo. Sin embargo, debe asegurarse de que los usuarios de PCpractiquen la seguridad operativa. Un PC no atendido con una sesión activa en elsistema iSeries proporciona la oportunidad de arrancar otra sesión sin conocer unID de usuario y una contraseña.Los PC deben estar preparados para bloquearsecuando el sistema permanece inactivo durante un período prolongado, y debenrequerir una contraseña para reanudar la sesión.

Aunque no se elija ignorar la pantalla Inicio de sesión, un PC no atendido con unasesión activa representa un riesgo para la seguridad. Utilizando el software de PC,alguien puede arrancar una sesión del servidor y acceder a los datos, de nuevo sinconocer un ID de usuario y una contraseña. El riesgo con la emulación 5250 esmayor ya que se necesitan menos conocimientos para arrancar una sesión yempezar a acceder a los datos.

También necesita educar a sus usuarios acerca del efecto de desconectar su sesiónde Client Access. Muchos usuarios dan por supuesto (lógica pero incorrectamente)que la opción de desconexión detiene completamente la conexión al iSeries.Dehecho, cuando un usuario selecciona la opción de desconectar, el iSeries permiteque la sesión (licencia) del usuario esté disponible para otro usuario.No obstante,la conexión del cliente al iSeries continúa abierta. Otro usuario podría entrar através del PC no protegido y acceder a los recursos del iSeries sin haber entradonunca un ID de usuario y una contraseña.

Puede sugerir dos opciones para los usuarios que necesitan desconectar sussesiones:v Asegúrese de que sus PC dispongan de una función de bloqueo que requiera

una contraseña. De este modo, un PC desatendido no estará disponible paraquien no conozca la contraseña.

v Para desconectar completamente una sesión, finalice la sesión de Windows oreinicie (rearranque) el PC. De este modo concluirá la sesión del iSeries.

También necesita educar a sus usuarios acerca de un riesgo de seguridad potencialcuando utilizan Client Access AS/400 para Windows 95/NT. Cuando un usuarioespecifica un UNC (convenio de denominación universal) para identificar unrecurso del iSeries, el cliente Win95 o NT crea una conexión de red para enlazar aliSeries.Puesto que el usuario especifica un UNC, el usuario no lo ve como unaUnidad de red correlacionada. Con frecuencia, el usuario desconoce la existenciade la conexión de red. Sin embargo, esta conexión de red representa un riesgo deseguridad en un PC desatendido, puesto que el iSeries aparece en el árbol dedirectorios del PC.Si la sesión de iSeries del usuario tiene un perfil de usuario


poderoso, pueden arriesgarse los recursos de iSeries en un PC desatendido.Comoen el ejemplo anterior, la solución es asegurar que los usuarios comprendan elriesgo y utilicen la función de bloqueo del PC.

Consejos para proteger el iSeries de mandatos y procedimientosremotos

Un usuario de PC experto que disponga de software como Client Access puedeejecutar mandatos en un sistema iSeries sin pasar a través de la pantalla Inicio desesión.A continuación se detallan varios métodos disponibles para que los usuariosde PC ejecuten los mandatos de iSeries.El software de cliente/servidor determinalos métodos de que disponen los usuarios de PC.v Un usuario puede abrir un archivo DDM y utilizar la función de mandato

remoto para ejecutar un mandato.v Parte del software, como los clientes optimizados de Client Access, proporciona

la función de mandato remoto a través de las API de Llamada de programadistribuido (DPC) sin utilizar DDM.

v Parte del software, tal como ODBC y SQL remoto, proporciona una función demandato remoto sin DDM o DPC.

Para el software de cliente/servidor que utiliza DDM para el soporte de mandatoremoto, puede utilizar el atributo de red DDMACC para evitar totalmente losmandatos remotos. Para el software de cliente/servidor que utiliza otro soporte delservidor, puede registrar los programas de salida para el servidor. Si quierepermitir mandatos remotos, debe asegurarse de que el esquema de autorizaciónsobre objetos protege los datos de forma adecuada. La posibilidad de mandatosremotos es equivalente a proporcionar a un usuario una línea de mandatos.Además, cuando iSeries recibe un mandato remoto a través de DDM, el sistema noaplica el valor Posibilidad limitada (LMTCPB) de los perfiles de usuario.

Consejos para proteger a los PC de mandatos y procedimientosremotos

El software de cliente Client Access AS/400 para Windows 95/NT, por ejemplo,proporciona la posibilidad de recibir mandatos remotos en el PC. Puede utilizar elmandato Ejecutar mandato remoto (RUNRMTCMD) en el iSeries para ejecutar unprocedimiento en un PC conectado.La posibilidad de RUNRMTCMD es unaherramienta valiosa para los administradores del sistema y el personal auxiliar. Sinembargo, también proporciona la oportunidad de dañar datos de PC, deliberada oaccidentalmente.

Los PC no tienen las mismas funciones de autorización sobre objetos que eliSeries.La mejor protección frente a los problemas con el mandato RUNRMTCMDes restringir cuidadosamente los usuarios del iSeries que tengan acceso almandato.El software de cliente de Client Access AS/400 para Windows 95/NTproporciona la posibilidad de registrar a los usuarios que pueden ejecutarmandatos remotos en un PC específico. Cuando la conexión se realiza a través deTCP/IP, puede utilizar el panel de control de propiedades en el cliente paracontrolar el acceso de mandatos remotos. Puede autorizar a los usuarios por ID deusuario o por nombre de sistema remoto. Cuando la conexión se realiza a través deSNA, determinado software de cliente proporciona la posibilidad de poner a puntola seguridad para la conversación. Con otro tipo de software de cliente, sólo esposible elegir si se pone a punto o no la posibilidad de mandato de entrada.


Para cada combinación de software de cliente y tipo de conexión (como TCP/IP oSNA), es necesario revisar el potencial de los mandatos de entrada para los PCconectados. Consulte la documentación del cliente y busque “mandato de entrada”o “RUNRMTCMD”. Esté preparado para aconsejar a los usuarios de PC y losadministradores de red acerca de la forma correcta (segura) de configurar clientespara permitir o evitar esta posibilidad.

Consejos para los servidores de pasarelaEl sistema puede formar parte de una red con un servidor intermedio o depasarela entre el sistema iSeries y los PC.Por ejemplo, su sistema iSeries puedeestar conectado a una LAN con un servidor de PC que tenga PC conectados alservidor.Los elementos de seguridad dependen en esta situación de lasposibilidades del software que se ejecuta en el servidor de pasarela. La Figura 42muestra un ejemplo de una configuración de servidor de pasarela:

Con determinado software, el sistema iSeries no conocerá los usuarios (comoUSERA o USERC) que estén en sentido directo del servidor de pasarela.El servidoriniciará la sesión en el iSeries como un sólo usuario (USERGTW).Utilizará el ID deusuario USERGTW para manejar todas las peticiones de los usuarios en sentidodirecto. Para el iSeries una petición de USERA parecerá una petición deUSERGTW.

Si es éste el caso, debe confiar en el servidor de pasarela para el cumplimiento dela seguridad. Debe comprender y gestionar las posibilidades de seguridad delservidor de pasarela. Desde la perspectiva del iSeries, cada usuario tiene la mismaautorización que el ID de usuario que utiliza el servidor de pasarela para iniciar lasesión.Un equivalente a esto sería ejecutar un programa que adoptara autorizacióny proporcionara una línea de mandatos.

Con otro software, el servidor de pasarela pasa las peticiones de los usuariosindividuales al iSeries.El iSeries sabe que USERA está solicitando acceso a unobjeto determinado.La pasarela es casi transparente para el iSeries.

Si el sistema está en una red que tiene servidores de pasarela, debe evaluar quéautorización se debe proporcionar a los ID de usuario utilizados por los servidoresde pasarela. También debe comprender lo siguiente:v Los mecanismos de seguridad que los servidores de pasarela hacen cumplir.v Cómo aparecen los usuarios en sentido directo ante el sistema iSeries.

USERA

USERE

SERVIDORPASARELAUSERGTW

SERVIDORAS/400 USERD

RV3M1207-0

USERB

USERC

Figura 42. iSeries con servidor de pasarela–Ejemplo


Consejos para las comunicaciones LAN inalámbricasAlgunos clientes pueden utilizar la LAN inalámbrica de iSeries para comunicarsecon el sistema iSeries sin utilizar cables.La LAN inalámbrica de iSeries utilizatecnología de comunicaciones por radio frecuencia.Como administrador deseguridad, debe conocer las siguientes características de seguridad de losproductos de la LAN inalámbrica de iSeries:v Estos productos de la LAN inalámbrica utilizan tecnología de difusión de

espectro. Esta misma tecnología la utilizó el gobierno en el pasado para asegurarlas transmisiones de radio. Para alguien que intente rastrear electrónicamente lastransmisiones de datos, éstas parecen ser un ruido, más que una transmisiónreal.

v La conexión inalámbrica tiene tres parámetros de configuración relevantes parala seguridad:– Velocidad de datos (dos velocidades de datos posibles)– Frecuencia (cinco frecuencias posibles)– Identificador del sistema (8 millones de identificadores posibles)

Estos elementos de configuración se combinan para proporcionar 80 millones deconfiguraciones posibles, lo que convierte el hecho de que un pirata informáticoacierte la configuración correcta en muy poco verosímil.

v Al igual que en el caso de otros métodos de comunicación, la seguridad de lascomunicaciones inalámbricas se ve afectada por la seguridad del dispositivo delcliente. La información del ID del sistema y otros parámetros de configuraciónestán en un archivo del dispositivo del cliente y deben protegerse.

v Si un dispositivo inalámbrico se pierde o lo roban, las medidas de seguridadnormales del iSeries, tales como las contraseñas de inicio de sesión y laseguridad de objetos, proporcionan protección cuando un usuario no autorizadointenta utilizar la unidad perdida o robada para acceder al sistema.

v Si una unidad cliente inalámbrica se pierde o la roban, debe considerar laposibilidad de cambiar la información del ID del sistema para todos losusuarios, puntos de acceso y sistemas. Piense en esto como en cambiar lacerradura de las puertas en caso de que le hayan robado las llaves.

v Probablemente quiera hacer una partición del servidor en grupos de clientescuyos ID de sistema sean exclusivos. Esto limita el impacto producido por lapérdida o el robo de una unidad. Este método funciona solamente si puedeconfinar un grupo de usuarios en una parte específica de la instalación.

v Al contrario que la tecnología de LAN por cable, la tecnología de LANinalámbrica es propietaria. Por lo tanto, no hay rastreadores electrónicos adisposición general para estos productos LAN inalámbricos. (Un rastreador esun dispositivo electrónico que lleva a cabo una supervisión no autorizada deuna transmisión.)


Capítulo 16. Consejos para el uso de los programas de salidade seguridad

Algunas funciones del iSeries proporcionan una salida para que el sistema puedaejecutar un programa creado por el usuario para realizar comprobaciones yvalidaciones adicionales.Por ejemplo, puede preparar el sistema para que ejecuteun programa de salida cada vez que algún usuario intenta abrir un archivo DDM(gestión de datos distribuidos). Puede utilizar la función de registro paraespecificar programas de salida que se ejecuten bajo determinadas circunstancias.

Varias publicaciones del iSeries contienen ejemplos de programas de salida querealizan funciones de seguridad.La Tabla 25 proporciona una lista de estosprogramas de salida, y fuentes de los programas de ejemplo.

Tabla 25. Fuentes de los programas de salida de ejemplo

Tipo de programa desalida Finalidad En qué lugar puede obtener un ejemplo

Validación decontraseña

El valor del sistema QPWDVLDPGM puedeespecificar un nombre de programa o indicarque se utilicen los programas de validaciónregistrados para el punto de salidaQIBM_QSY_VLD_PASSWRD para comprobaren las contraseñas nuevas si hay requisitosadicionales que no pueden ser controladospor los valores del sistema QPWDxxx. Lautilización de este programa debesupervisarse con suma atención porquerecibe contraseñas sin cifrar. Este programano debe almacenar contraseñas en unarchivo ni transferirlas a otro programa.

v An Implementation Guide for AS/400 Securityand Auditing, GG24-4200

v iSeries Security Reference, SC41-5302-04

Acceso a SoportePC/400 o ClientAccess1

Puede especificar este nombre de programaen el parámetro Acceso de petición de cliente(PCSACC) de los atributos de red paracontrolar las siguientes funciones:

v Función Impresora virtual

v Función Transferencia de archivos

v Función Carpetas compartidas Tipo 2

v Función Mensajes de Client Access

v Colas de datos

v Función SQL remoto


Acceso a Gestión dedatos distribuidos(DDM)

Puede especificar este nombre de programaen el parámetro Acceso de petición de DDM(DDMACC) de los atributos de red paracontrolar las siguientes funciones:

v Función Carpetas compartidas Tipo 0 y 1

v Función Someter mandato remoto


Inicio de sesiónremoto

Puede especificar un programa en el valordel sistema QRMTSIGN para controlar quéusuarios pueden iniciar la sesiónautomáticamente y desde qué ubicaciones(paso a través.)



|||||||||||||

|||

Tabla 25. Fuentes de los programas de salida de ejemplo (continuación)

Tipo de programa desalida Finalidad En qué lugar puede obtener un ejemplo

Conectividad Abiertade Bases de Datos(ODBC) con ClientAccess 1

Controle las siguientes funciones de ODBC:

v Si se permite de alguna manera la ODBC.

v Qué funciones se permiten para losarchivos de base de datos del iSeries.

v Qué sentencias SQL se permiten.

v Qué información se puede recuperaracerca de los objetos del servidor de labase de datos.

v Qué funciones del catálogo SQL sepermiten.

Programa de manejode interrupcionesQSYSMSG

Puede crear un programa para supervisar lacola de mensajes QSYSMSG y emprender laacción adecuada (como, por ejemplo,notificárselo al administrador del sistema) enfunción del tipo de mensaje.


TCP/IP Algunos servidores de TCP/IP (como FTP,TFTP, TELNET y REXEC) proporcionanpuntos de salida. Puede añadir programas desalida para manejar el inicio de sesión y paravalidar peticiones de usuario, como porejemplo, las peticiones para obtener o colocarun archivo especificado. También puedeutilizar estas salidas para proporcionar unprotocolo FTP anónimo en el sistema.

v “TCP/IP User Exits en la publicacióniSeries 400 System API Reference ”

Cambios del perfil deusuario

Puede crear programas de salida para lossiguientes mandatos de perfil de usuario:

CHGUSRPRFCRTUSRPRFDLTUSRPRFRSTUSRPRF

v iSeries Security Reference, SC41-5302-04

v “TCP/IP User Exits en la publicacióniSeries 400 System API Reference ”

Notas:

1. Encontrará información adicional sobre este tema en el Information Center iSeries. Vea “Requisitos e informaciónrelacionada” en la página xii para obtener más detalles.


|

||

Capítulo 17. Consideraciones sobre seguridad para Java

Java está teniendo una rápida y amplia aceptación y utilización. Es posible queutilice Toolbox for Java en el sistema para desarrollar nuevas aplicaciones. Losusuarios que dispongan de acceso a Internet pueden estar accediendo a páginasWeb que ejecuten applets Java. Aunque Java es un lenguaje potente queproporciona herramientas y características para ayudar a los programadores aescribir programas seguros, Java no puede asegurar la información por sí solo. Esteapartado trata las consideraciones sobre seguridad para:v Aplicaciones Javav Applets Javav Servlets Javav Autenticación y autorización de Java

Para obtener más información puede utilizar el libro rojo, Java 2 Network Security.Está ubicado en la siguiente dirección del navegador,http://www.redbooks.ibm.com/abstracts/sg242109.html

Aplicaciones JavaLas aplicaciones Java residen en el sistema iSeries 400 o en el PC en el que seejecutan, y se ejecutan utilizando la máquina virtual Java instalada en dichosistema. Los problemas de seguridad para las aplicaciones Java en iSeries son losmismos que para las demás aplicaciones de iSeries.

La aplicación puede realizar funciones o acceder a objetos en el sistema iSeriessolamente si el perfil de usuario bajo el que se ejecuta tiene autorización sobredichas funciones u objetos. Algunas aplicaciones se ejecutan bajo el perfil deusuario del usuario actual, mientras que otras lo hacen bajo un perfil de usuariopor omisión, que puede tener o no una cantidad significativa de autorizaciones. Siescribe sus propias aplicaciones Java, es recomendable que se ejecuten bajo el perfilde usuario actual.

Un buen esquema de seguridad por recursos es esencial al empezar a utilizar lasaplicaciones Java para proporcionar nuevas funciones de aplicaciones. Cuando elsistema iSeries procesa peticiones de cualquier aplicación, incluidas las aplicacionesJava, no utiliza el control de acceso de menú ni el valor de posibilidad limitada delperfil de usuario. El control de acceso de menú sólo está en vigor para los menús ylos mandatos visualizados o entrados desde una sesión 5250. Las peticiones que seprocesan mediante servidores de software no están sujetas al control de acceso demenú ni a la posibilidad limitada.

A partir de la V4R4, Java para iSeries Java soporta SSL (capa de sockets segura).Los datos (incluidos los ID de usuario y contraseñas) pueden cifrarse cuando losusuarios acceden a aplicaciones Java del iSeries desde Internet. No obstante, antesde la V4R4, no había soporte integrado para SSL, pero eso solamente impedía elcifrado de datos con SSL. No impedía el cifrado de datos utilizando un algoritmodentro del propio programa Java. Existen diversas maneras de cifrar los datos; SSLsólo es una de ellas.

También a partir de la V4R4, los programas Java pueden adoptar la autorizaciónde su propietario o utilizar la autorización adoptada que esté en vigor cuando se


inicie la aplicación Java. Utilice el mandato CRTJVAPGM para establecer el atributoPerfil de usuario en *OWNER para adoptar la autorización del propietario. Parautilizar la autorización adoptada en vigor al iniciarse la aplicación Java, establezcaen USE el atributo Utilizar autorización adoptada. La autorización adoptada puedeutilizarse en cualquier entidad Java que pueda utilizarse como parámetro archivode clase o archivo Jar en el mandato CRTJVAPGM. Un programa Java que adoptela autorización de su propietario no se regenerará automáticamente si el archivo declase asociado cambia.

Una aplicación Java que se ejecute en un PC puede intentar conectarse a acualquier puerto TCP/IP de un servidor. El código de la aplicación de servidordeterminará si son necesarios el ID de usuario y la contraseña. No obstante, paralos servidores con Java Toolbox, la aplicación debe proporcionar un ID de usuarioy una contraseña cuando desee volver a establecer una conexión con el servidor.En este caso, el servidor es un sistema iSeries. Normalmente, la clase Toolboxsolicita al usuario un ID de usuario y una contraseña para la primera conexión.


Applets JavaLos applets Java son pequeños programas Java que residen en un servidor web. Sebajan a un cliente y se ejecutan en el cliente mediante el código Javaproporcionado por un navegador Web. Dado que los applets se ejecutan en elcliente, lo que hagan será problema del cliente. Una buena gestión de seguridaddel servidor iSeries protege los recursos del iSeries sin tener en cuenta lo que elapplet intente hacer. Por otro lado, quién puede acceder al applet será problemadel servidor iSeries. Utilice las directivas del servidor HTTP y la seguridad porrecursos de OS/400 para controlar el acceso al applet.

Los applets Java tienen el potencial para acceder a su iSeries pero, por lo general,las aplicaciones Java sólo pueden establecer una sesión con el servidor desde elque se originó la aplicación. Por consiguiente, una aplicación Java puede acceder asu iSeries desde un PC conectado solamente cuando la aplicación provenga de suiSeries (por ejemplo, de su servidor Web).

El visor de applets le permite probar un applet en el sistema servidor. El visor deapplets no está sujeto a las restricciones de seguridad implementadas por unnavegador. Por ese motivo, sólo deberá utilizar la herramienta visor de appletspara probar sus propios applets, nunca para ejecutar applets de fuentes externas.


Servlets JavaLos servlets son componentes del lado del servidor, escritos en Java, que amplíande forma dinámica la funcionalidad de un servidor web sin modificar el código delservidor web. El IBM WebSphere Application Server que se envía con IBM HTTPServer para iSeries proporciona soporte para servlets en el iSeries.


Es más complicado asegurar los servlets que otros tipos de programas Java.Aplicar la seguridad por recursos a un servlet no lo asegura lo suficiente. Una vezun servidor web ha cargado un servlet, la seguridad por recursos no evita queotros lo ejecuten.

Debe utilizar la seguridad por recursos en los objetos que utilice el servidor.También puede mejorar la seguridad de los servlets utilizando las siguientesdirectivas de protección del IBM HTTP Server para iSeries:v Ejecute los servlets bajo el perfil de usuario del solicitante (UserID=%%CLIENT),

o bajo un perfil de usuario especificado.v No permita que los servlets se ejecuten bajo el perfil del servidor web.v Controle quién puede ejecutar el servlet (aplicar máscaras a las palabras clave de

la directiva de protección).v Utilice los grupos de HTTP Server y las listas de control de acceso (ACL).


Autenticación y autorización de JavaiSeries 400 Toolbox para Java contiene clases de seguridad para proporcionar laverificación de la identidad de un usuario y asignar opcionalmente esa identidad ala hebra del sistema operativo para una aplicación o servlet que se esté ejecutandoen el iSeries. Las siguientes comprobaciones de la seguridad por recursos seproducirán bajo la identidad asignada.

Para obtener información detallada adicional revise la página iSeries 400 Toolboxpara Java: Servicio de autenticación y autorización en el iSeries Information Center.También puede utilizar el libro rojo, Java 2 Network Security. Está ubicado en lasiguiente dirección del navegador,http://www.redbooks.ibm.com/abstracts/sg242109.html

Capítulo 17. Consideraciones sobre seguridad para Java 237

Capítulo 18. Consideraciones de seguridad para losnavegadores

Muchos usuarios de PC de su organización tendrán navegadores en las estacionesde trabajo. Es posible que se conecten a Internet. Es posible también que seconecten al iSeries.A continuación se proporcionan algunas consideraciones deseguridad para los PC y para el iSeries.

Riesgo: Daños en el PC localUna página Web visitada por un usuario puede tener un ″programa″ asociado,como por ejemplo un applet Java, un control Active-X o algún otro tipo de móduloenlazable. Aunque no es el caso habitual, este tipo de ″programas″ pueden dañarla información del PC. Como administrador de seguridad, tenga en cuenta losiguiente para proteger los PC de la organización:v Estudie las opciones de seguridad de los distintos navegadores de que dispone.

Por ejemplo, en algunos navegadores puede controlar el acceso que los appletsJava tienen fuera del navegador (el entorno operativo restringido de Java sellama sandbox). Esto puede evitar que los applets dañen los datos del PC.

Nota: El concepto de sandbox y sus restricciones de seguridad asociadas noexiste en Active-X ni en otros módulos enlazables.

v Recomiende a los usuarios los valores a utilizar en el navegador. Probablementeno tenga el tiempo ni los recursos para asegurarse de que los usuarios siganestas recomendaciones. Por lo tanto debe instruirlos acerca de los riesgospotenciales de la utilización de valores inadecuados.

v Considere la estandarización de los navegadores Web que proporcionan lasopciones de seguridad necesarias.

v Haga que los usuarios le informen de cualesquiera comportamientos o síntomassospechosos que puedan asociarse a sitios Web determinados.

Riesgo: Acceso a los directorios de iSeries a través de unidadescorrelacionadas

Suponga que hay un PC conectado al iSeries con una sesión Client Access AS/400para Windows 95/NT. La sesión ha configurado unidades correlacionadas paraenlazar con el sistema de archivos integrado del iSeries. Por ejemplo, la unidade Gdel PC podría correlacionarse con el sistema de archivos integrado del iSeriesSYSTEM1 en la red.

Ahora suponga que el mismo usuario de PC tiene un navegador y puede acceder aInternet. El usuario solicita una página Web que ejecuta un ″programa″ perjudicialcomo puede ser un applet Java applet o un control Active-X. En teoría, elprograma podría intentar borrar todo lo contenido en la unidad G del PC.

Existen varias protecciones contra daños en las unidades correlacionadas:v La protección más importante es la seguridad de recursos en el iSeries. El applet

Java o el control Active-X es, para el iSeries, igual que el usuario que haestablecido la sesión de PC. Necesita gestionar cuidadosamente cuáles son losusuarios de PC que están autorizados a trabajar en el iSeries.


v Debe aconsejar a los usuarios de PC que configuren los navegadores para evitarintentos de acceder a las unidades correlacionadas. Esto funciona para losapplets Java pero no para los controles Active-X, que no disponen del conceptosandbox.

v Debe instruir a los usuarios acerca del peligro que supone conectarse al iSeries ya Internet en la misma sesión. Asegúrese también de que los usuarios de PC(con clientes Windows 95, por ejemplo) comprendan que las unidadespermanecen correlacionadas incluso cuando parezca que la sesión de ClientAccess ha finalizado.

Riesgo: Confianza en applets firmadosProbablemente los usuarios hayan seguido el consejo y hayan configurado losnavegadores para evitar que los applets graben en unidades de PC. Sin embargo,los usuarios de PC deben tener en cuenta que un applet firmado puede alterartemporalmente los valores del navegador.

Un applet firmado lleva asociada una firma digital para establecer su autenticidad.Cuando un usuario accede a una página Web que tiene un applet firmado, elusuario ve un mensaje. El mensaje indica la firma del applet (quién y cuándo lofirmó). Cuando el usuario acepta el applet, el usuario permite al applet pasar poralto los valores de seguridad del navegador. El applet firmado puede grabar en lasunidades locales del PC, incluso aunque los valores por omisión del navegador loimpidan. El applet firmado puede también grabar en las unidades correlacionadasdel iSeries porque para el PC son unidades locales.

Para los applets Java propios procedentes del iSeries, es posible que necesiteutilizar applets firmados. Sin embargo, debe indicar a los usuarios que, en general,no acepten applets firmados de origen desconocido.


Capítulo 19. Consejos para la seguridad de Domino paraiSeries

Encontrará información sobre el uso de Domino en el iSeries en el siguiente URL:http://www.as400.ibm.com/domino/ . Desde esa página puede enlazar con labiblioteca de consulta de Domino, así como con productos y estudios de casos.


|||

Parte 5. Consejos y herramientas para la seguridad deInternet en iSeries 400

Nota: El contenido de “Parte 5. Consejos y herramientas para la seguridad deInternet en iSeries 400” está disponible en el Information Center. Consultetambién el “Apéndice. IBM SecureWay: iSeries 400 e Internet” en lapágina 247.

RV3M1204-0


||||

Parte 6. Apéndices


Apéndice. IBM SecureWay: iSeries 400 e Internet

El acceso a Internet desde la LAN es un paso importante en la evolución de su redque requerirá que vuelva a evaluar sus necesidades de seguridad. El iSeries 400tiene soluciones de software integradas y una arquitectura de seguridad que lepermitirán crear potentes defensas contra los posibles intrusos y trampas deseguridad de Internet. El uso correcto de estas ofertas de seguridad de iSeries 400asegurará que sus clientes, empleados y asociados puedan obtener la informaciónnecesaria para sus intercambios comerciales en un entorno seguro.

Para saber más sobre los riesgos de seguridad de Internet y las soluciones deseguridad de iSeries 400 que puede utilizar para proteger sus sistemas y recursos,revise estos temas en el Information Center (vea “Requisitos e informaciónrelacionada” en la página xii para más detalles):v Seguridad básica del sistema y planificación: Aprenda a planificar, configurar,

gestionar y poner a prueba la seguridad de su sistema. Consulte este teme si notiene experiencia en seguridad, o si no la tiene en la seguridad del iSeries 400.

v IBM SecureWay: iSeries 400 e Internet: Este tema proporciona una visióngeneral de las ofertas y los puntos fuertes de la seguridad en Internet iSeries400. Consulte este tema para obtener más información sobre las opciones deseguridad de redes, aplicaciones y transacciones.

El iSeries 400 Information Center proporciona enlaces con fuentes adicionales deinformación de seguridad. Vea “Requisitos e información relacionada” en lapágina xii para obtener más detalles.

Nota: Si no está familiarizado con los términos relacionados con la seguridad eInternet, deberá revisar la Terminología de seguridad en el Information Center,a medida que trabaja con este material.

Seguridad C2C2 es un estándar de seguridad definido por el gobierno de los EE.UU. en elDepartment of Defense Trusted System Evaluation Criteria (DoD 5200.28.STD). Esposible que se pregunte por qué le interesa tener la calificación C2. Para poderrealizar solicitudes y que se le contrate como desarrollador de proyectos dentro dela estructura gubernamental puede ser necesario que su sistema se ejecute con elnivel de seguridad C2.

En Octubre de 1995, AS/400 recibió formalmente su primera calificación deseguridad C2 del Departamente de Defensa del Gobierno de los Estados Unidos.Esta calificación de seguridad C2 original es para la V2R3 de OS/400, Programa deUtilidad para Entrada del Fuente, Consulta/400, SAA Lenguaje de ConsultaEstructurada/400 y Common Cryptographic Architecture Services/400. Lacalificación de seguridad C2 se obtuvo tras un riguroso período de evaluación devarios años de duración. iSeries 400 es el primer sistema que consiguie unacalificación de seguridad C2 para un sistema (hardware y sistema operativo) conuna base de datos integrada de función completa.

Desde que recibió su primera calificación C2, el objetivo de IBM ha sido conseguirnuevas calificaciones C2 para el hardware adicional de iSeries 400 y los releases deOS/400 a través del proceso RAMP (Ratings Maintenance Phase) del Departamentode Defensa de los Estados Unidos. Hasta la fecha, el iSeries 400 ha recibido


|||||||

|||||||||||

|||

||||

calificaciones C2 para la Versión 3 Release 0 Modificación 5 (V3R0M5), la Versión 3Release 2 (V3R2), la Versión 4 Release 1 (V4R1) y la Versión 4 Release 4 (V4R4).

Para obtener el nivel de seguridad C2, los sistemas deben cumplir unascondiciones estrictas en las áreas siguientes:v Control de acceso discrecionalv Fiabilidad del usuariov Auditoría de la seguridadv Aislamiento de recursos

Para obtener información detallada consulte Department of Defense Trusted SystemEvaluation Criteria y Security–Enabling for C2


||

Avisos

Esta información se ha desarrollado para productos y servicios ofrecidos en losEstados Unidos. IBM puede no ofrecer los productos, servicios o característicastratados en este documento en otros países. Consulte al representante de IBM localacerca de los productos y servicios disponibles actualmente en su zona. Cualquierreferencia a un producto, programa o servicio IBM no implica que únicamentepueda utilizarse dicho producto, programa o servicio IBM. En su lugar, puedeutilizarse cualquier producto, programa o servicio funcionalmente equivalente queno vulnere ninguno de los derechos de propiedad intelectual de IBM. No obstante,es responsabilidad del usuario evaluar y verificar el funcionamiento de cualquierproducto, programa o servicio no IBM.

IBM puede tener patentes o aplicaciones pendientes de patente que cubraninformación descrita en este documento. La posesión de este documento no leotorga licencia sobre dichas patentes. Puede enviar consultas sobre las licencias,por escrito, a:

IBM Director of LicensingIBM Corporation500 Columbus AvenueThornwood, NY 10594EE.UU.

Para consultas sobre licencias relativas a la información de doble byte (DBCS),póngase en contacto con el departamento de propiedad intelectual de IBM en supaís o envíe las consultas, por escrito, a:

IBM World Trade Asia CorporationLicensing2-31 Roppongi 3-chome, Minato-kuTokyo 106-0032, Japón

El párrafo siguiente no se aplica al Reino Unido ni a ningún otro país en quedichas previsiones entren en contradicción con las leyes locales:INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONAESTA PUBLICACIÓN “TAL CUAL” SIN GARANTÍA DE NINGÚN TIPO, NIEXPLÍCITAS NI IMPLÍCITAS, INCLUYENDO, PERO NO LIMITÁNDOSE A LASGARANTÍAS IMPLÍCITAS DE NO VULNERABILIDAD, COMERCIALIZACIÓN OADECUACIÓN A UN PROPÓSITO DETERMINADO. Algunos estados nopermiten el rechazo de las garantías implícitas o explícitas en determinadastransacciones, por lo que puede que esta declaración no se aplique a su caso.

Esta información puede incluir imprecisiones técnicas o tipográficas. Se efectúancambios periódicamente a la información incluida en este documento; estoscambios se incorporarán en nuevas ediciones de la publicación. IBM puedeefectuar mejoras y/o cambios en el producto(s) y/o el programa(s) descritos enesta publicación en cualquier momento y sin previo aviso.

Toda referencia en esta información a sitios Web no IBM se proporcionansolamente a efectos ilustrativos, y de ningún modo suponen un endoso a dichossitios Web. Los materiales de dichos sitios Web no forman parte de los materialesde este producto IBM, y el uso de dichos sitios Web se hará bajo suresponsabilidad.


|||||

||||

Los usuarios licenciados de este programa, que deseen tener información acerca deél a efectos de permitir: (i) el intercambio de información entre programasindependientemente creados y otros programas (incluyendo éste), y (ii) el usomutuo de la información que se haya intercambiado, deberán ponerse en contactocon:

IBM CorporationSoftware Interoperability Coordinator3605 Highway 52 NRochester, MN 55901-7829U.S.A.

Esta información puede estar disponible, sujeta a los correspondientes términos ycondiciones, incluyendo en ciertos casos, el pago de una tarifa.

El programa licenciado en esta información, y todo el material licenciadodisponible para dicho programa, los ofrece IBM bajo los términos del IBMCustomer Agreement, IBM International Program License Agreement, o cualquieracuerdo equivalente entre las dos partes.

Todos los datos de rendimiento aquí contenidos se obtuvieron en un entornocontrolado. Por tanto, los resultados obtenidos en otros entornos operativospueden varias significativamente. Al gunas medidas pueden haberse efectuado ensistemas a nivel desarrollo, y no hay garantía de que dichas medidas sean lasmismas en los sistemas generalmente disponibles. Es más, algunas medidaspueden haberse estimado mediante extrapolaciones. Los resultados reales puedenvariar. Los usuarios de este documento deberían verificar los datos aplicables ensus entornos concretos.

La información concerniente a los productos no IBM se obtuvo de lossuministradores de dichos productos, de sus anuncios publicados o de otrasfuentes de acceso público. IBM no ha probado dichos productos y no puedeconfirmar la exactitud del cumplimiento, la compatibilidad ni ninguna otraafirmación relativa a los productos no IBM. Toda cuestión sobre las posibilidadesde los productos no IBM deberían ser dirigidas a los suministradores de dichosproductos.

Todas las declaraciones relativas a las intenciones o direcciones futuras de IBMestán sujetas a cambio o revocación sin previo aviso, y representan solamentemetas y objetivos.

Todos los precios aquí mostrados son precios recomendados de venta de IBM, sonactuales y sujetos a cambio sin previo aviso. Los precios de los concesionariospueden variar.

Esta información es sólo a efectos de planificación. La información aquí contenidaestá sujeta a cambio antes de que estén disponibles los productos descritos.

Esta información contiene ejemplos de datos e informes utilizados en operacionescomerciales diarias. Para ilustrarlas de la forma más completa posible, los ejemplosincluyen los nombres de personas, empresas, marcas y productos. Todos estosnombres son ficticios y cualquier parecido con los nombres y direcciones utilizadospor una empresa real es pura coincidencia.

LICENCIA DE COPYRIGHT:


Esta información contiene programas de aplicación de ejemplo en lenguaje fuente,que ilustran técnicas de programación en distintas plataformas operativas. Puedecopiar, modificar y distribuir dichos programas de ejemplo en cualquier forma sinpago a IBM para el propósito de desarrollar, utilizar, comercializar o distribuirprogramas de aplicación que se ajusten a la interfaz de programación deaplicaciones correspondiente a la plataforma operativa para la que se han escritolos programas de ejemplo. Estos ejemplos no se han probado exhaustivamente bajotodas las condiciones. IBM, por tanto, no puede garantizar ni implicar la fiabilidad,servicio o funcionamiento de estos programas. Puede copiar, modificar y distribuirdichos programas de ejemplo en cualquier forma sin pago a IBM para el propósitode desarrollar, utilizar, comercializar o distribuir programas de aplicación que seajusten a las interfaces de programación de aplicaciones de IBM.

Si está examinando esta información mediante una copia software, puede que noaparezcan las fotografías ni las ilustraciones a color.

Marcas registradasLos términos siguientes son marcas registradas de International Business MachinesCorporation en Estados Unidos y/o en otros países:

ADSM/400Advanced 36Advanced Peer-to-Peer NetworkingAIXAnyNetApplication System/400APPNAS/400AS/400eClient AccessCTDATABASE 2Arquitectura de Bases de Datos Relacionales DistribuidasDRDAGlobal NetworkIBMiSeries

iSeries 400Net.DataOfiVisiónOperating System/400OS/2OS/400PowerPC ASQMFSAASecureWaySmoothStartSystem/36System/38S/390Ultimedia400

Lotus y Lotus Notes son marcas registradas de Lotus Development Corporation.Domino y Notes son marcas registradas de Lotus Development Corporation.

C-bus es marca registrada de Corollary, Inc.

Microsoft, Windows, Windows NT y el logotipo de Windows 95 son marcasregistradas de Microsoft Corporation.

Java y HotJava son marcas registradas de Sun Microsystems, Inc.

UNIX es marca registrada en los Estados Unidos y en otros países con licenciaexclusivamente a través de X/Open Company Limited.

PC Direct es marca registrada de Ziff Communications Company y lo utiliza, bajolicencia, IBM Corporation.

Otros nombres de empresas, productos y servicios pueden ser marcas registradasde terceros.

Avisos 251

Dónde obtener más información y ayuda

Existen muchos recursos disponibles si necesita más información acerca de laseguridad o si necesita ayuda. Encontrará información adicional sobre estos temasen el iSeries Information Center (vea “Requisitos e información relacionada” en lapágina xii para conocer más detalles).

Acerca de IBM SecureWayIBM SecureWay proporciona una marca común para la amplia gama de ofertas deseguridad de IBM; hardware, software, consulta y servicios para ayudar a losclientes a proteger su tecnología de información. Tanto si es para una necesidadindividual cono para crear una solución total de empresa, las ofertas de IBMSecureWay proporcionan la experiencia necesaria para planificar, diseñar,implementar y operar soluciones seguras para las empresas. Para obtener másinformación sobre las ofertas de IBM SecureWay, vea “Dónde obtener másinformación y ayuda” y visite la página de presentación de IBM Secureway:http://www.ibm.com/secureway

Ofertas de servicioA continuación encontrará las descripciones de diversas ofertas que IBM tienedisponibles para ayudarle con la seguridad del iSeries o en la conexión a Internet.Para obtener más información, póngase en contacto con el representante de IBM.En los EE.UU. puede ponerse en contrato con la oficina de distribución localExpress Services o puede llamar al número 1-800-IBM-4YOU. También puedeencontrar información actual sobre las ofertas de servicio visitando la siguienteWeb IBM:http://www.as.ibm.com/asus

Revisión de la seguridad para iSeries:La Revisión de seguridad para iSeries estádisponible en los Servicios de disponibilidad de IBM. La revisión incluye lossiguientes aspectos:v El uso de las herramientas de seguridad.v Un cuestionario para el cliente.v Una entrevista para reunir información sobre las prácticas de seguridad.

El resultado de la revisión es un informe que resume los riesgos potenciales de laseguridad y ofrece unas recomendaciones preliminares para la acción correctiva.

La planificación de seguridad, la implementación y los servicios de consultatambién están disponibles en los Servicios de disponibilidad de IBM.

SmoothStart para Web Server/400 desde I/Net: Un especialista en servicios de IBMinstalará, configurará y adaptará Web Server/400 desde I/Net, para que suempresa esté presente en la World Wide Web.

Al finalizar este servicio, tendrá un prototipo de página de presentación de Web, elservidor Web Server/400 instalado y operativo, y el iSeries TCP/IP configurado ylisto para conectarlo a Internet o a su propia Intranet.


Planificación de Conexión Internet para iSeries: Esta oferta de servicio leproporciona la información y los consejos que necesite para determinar lasfunciones de iSeries que desea ofrecer a los usuarios de Internet.La sesión deplanificación tratará las funciones de Internet Connection para AS/400 y lascomparará con Web Server/400 desde I/Net.

Al finalizar este servicio será capaz de juzgar la aplicabilidad de InternetConnection para AS/400 a su entorno.

SmoothStart para Conexión Internet para iSeries–FTP anónimo: A partir de laV3R2 de OS/400, puede utilizar anónimo como ID de usuario válido para losusuarios del protocolo de transferencia de archivos (FTP). Con FTP anónimo,puede ofrecer a los usuarios de Internet o a los de su propia Intranet, el acceso alos archivos de su iSeries sin necesidad de distribuir a los usuarios losidentificadores de usuario y las contraseñas exclusivos.

El servicio SmoothStart para Conexión Internet para iSeries–FTP anónimo leproporcionará un especialista de servicios que le ayudará a hacer lo siguiente:v Planificar la utilización de FTP anónimo para su entornov Poner a punto una salida de usuario de FTP que permitirá que sus usuarios

obtengan archivos de una biblioteca del iSeries y pongan archivos en otrabiblioteca del iSeries.

Al finalizar este servicio, su iSeries estará configurado para permitir que losusuarios tengan acceso a los archivos utilizando FTP anónimo, y para impedir suacceso a lo archivos de uso restringido.Los usuarios de FTP tendrán además laposibilidad de subir archivos a una biblioteca específica.

SmoothStart para Conexión Internet para iSeries–Servidor de correo POP: A partirde la V3R2, iSeries puede ser un servidor de correo POP3 (Post Office Protocol R3)y mantener correo en buzones para los usuarios que ejecuten un cliente POP3. Losusuarios pueden recoger su correo cuando lo deseen.

La oferta SmoothStart para Conexión Internet para iSeries–Servidor de correo POPle proporciona un especialista de servicios para configurar los objetos necesariospara permitir que el iSeries sea un servidor de correo POP3 para los clientes queutilicen programas de correo como Eudora, Ultimail, así como otros clientes POP3que se ejecuten en AIX, Windows, OS/2 y MacIntosh.

Al finalizar este servicio, su iSeries estará configurado como servidor de correoPOP3, con los buzones creados para que diez clientes de correo los utilicen.Además, se definirán en el iSeries cinco usuarios de correo no de iSeries para hacerposible que les envíe correo.

SmoothStart para Conexión Internet para iSeries–Web le proporciona unespecialista en servicios para instalar, configurar y personalizar el servidor WebConexión Internet para iSeries y HTML Workstation Gateway para que su empresaesté presente en la Web.

Al finalizar este servicio, dispondrá de una página de presentación Web prototipoy podrá acceder a las aplicaciones del iSeries desde un navegador Web. El iSeriesTCP/IP del AS/400 estará configurado y preparado para la conexión a Internet o asu propia intranet.


Security Analysis Lab: Con la oferta de laboratorio de análisis de seguridad, losconsultores de IBM intentan infiltrarse en las redes de los clientes. Evalúan lavulnerabilidad de la red y recomiendan mejoras de la seguridad.

Emergency Response Service: El servicio de respuesta de emergencia para empresascomerciales proporciona conocimientos de gestión de incidentes, expertos yrápidos, durante y después de una emergencia de seguridad electrónica. En el casode una intrusión, el equipo de respuesta de emergencia ayuda a los clientes adetectar, aislar y contener la infiltración no autorizada en la red, y a recuperarse deella.

Publicaciones relacionadasLas publicaciones siguientes proporcionan más información acerca de la seguridaddel iSeries:v APPC Programming, SC41-5443-00, describe el soporte de comunicaciones

avanzadas programa a programa (APPC) para el sistema iSeries.Este manualproporciona ayuda para desarrollar programas de aplicación que utilizan APPCy para definir el entorno para las comunicaciones APPC. Incluye consideracionessobre el programa de aplicación, requisitos de configuración y mandatos, gestiónde problemas para APPC y consideraciones generales sobre gestión de redes.

v En la publicación AS/400 Internet Security: Protecting Your AS/400 from HARM onthe Internet, SG24-4929, se tratan los elementos de seguridad y los riesgosasociados a la conexión del iSeries a Internet. Proporciona ejemplos,recomendaciones, consejos y técnicas para las aplicaciones de TCP/IP.

v Copia de seguridad y recuperación, SC10-3123-05 (SC41-5304-05), proporcionainformación acerca de la puesta a punto y la gestión de:– Registro por diario, protección de vía de acceso y control de compromiso– Agrupaciones de almacenamiento auxiliar (ASP)– Protección de disco (paridad de dispositivo, duplicación de disco y suma de

comprobación)– Planificar una estrategia para salvar el sistema.– Realizar operaciones de salvar básicas.– Seleccionar qué opciones de disponibilidad son adecuadas para el sistema.– Recuperar el sistema si se produce una anomalía.

Encontrará información adicional sobre estos temas en el iSeries InformationCenter. Vea “Requisitos e información relacionada” en la página xii para obtenermás detalles.

v CL Programming, SC41-5721-04, proporciona descripciones detalladas paracodificar especificaciones de descripción de datos (DDS) para archivos que sepueden describir externamente. Estos archivos son archivos físicos, lógicos, depantalla, de impresión y de función de comunicaciones intersistemas (ICF).

v IBM Network Station Manager para AS/400, SC10-3088-00 (SC41-0632-01), describecómo poner a punto, configurar y gestionar la Network Station.

v An Implementation Guide for AS/400 Security and Auditing, GG24-4200, proporcionasugerencias prácticas y ejemplos para muchas áreas de la seguridad de iSeries.

v Implementing iSeriesSecurity, 3rd Edition by Wayne Madden and Carol Woodbury.Loveland, Colorado: 29th Street Press, a division of Duke CommunicationsInternational, 1998. Proporciona sugerencias de ayuda y prácticas para planificar,poner a punto y gestionar la seguridad de iSeries.Número de pedido ISBN:

Dónde obtener más información y ayuda 255

||

|

|

||

|

|

|

|

|||

1-882419-78-2v HTTP Server for iSeries Webmaster’s Guide, GC41-5434-07, proporciona información

a la administración del sistema para la configuración y la gestión del InternetConnection Server y del Internet Connection Secure Server.

v C2 Security describe cómo personalizar su sistema para cumplir los requisitos deseguridad C2, tal como se describe en Department of Defense Trusted ComputerEvaluation Criteria

v iSeries Security Reference, SC41-5302-04, proporciona información completa acercade los valores de seguridad del sistema, los perfiles de usuario, la seguridad derecursos y la auditoría de seguridad. Este manual no describe la seguridad deprogramas bajo licencia, lenguajes y programas de utilidad específicos.

v El tema ″Iniciación a iSeries″ del iSeries Information Center proporcionainformación acerca del panel de control de la unidad del sistema, cómo arrancary detener el sistema, cómo utilizar cintas y disquetes, cómo trabajar con arreglostemporales del programa y cómo manejar problemas.

v TCP/IP Configuration and Reference, SC41-5420-03, proporciona informaciónamplia para la configuración y la utilización del soporte TCP/IP deiSeries.Incluye descripciones de todas las aplicaciones del servidor TCP/IP.

Nota: Para V4R1, las descripciones del Internet Connection Server (antes HTTP)en el Internet Connection Secure Server se encuentran en el manual HTTPServer for iSeries Webmaster’s Guide.

v Soporte de servidor de archivos TCP/IP para OS/400 Installation and User’s Guide,SC41-0125, proporciona información introductoria, instrucciones para lainstalación y procedimientos de puesta a punto para la oferta del programa bajolicencia Soporte de servidor de archivos. Explica las funciones disponibles con elproducto e incluye ejemplos y sugerencias para utilizarlo con otros sistemas.

v Trusted Computer Systems Evaluation Criteria DoD 5200.28.STD, describe loscriterios de niveles de confianza para sistemas PC. TCSEC es una publicacióndel gobierno de los Estados Unidos. Pueden obtenerse copias en:

Office of Standards and ProductsNational Computer Security CenterFort Meade, Maryland 20755-6000 EE.UU.A la atención de: Chief, Computer Security Standards

v , proporciona información que permite que los programadores puedan gestionareficazmente su carga de trabajo del sistema cambiando objetos de gestión detrabajo con el fin de que se ajustar a sus necesidades. La publicaciónproporciona directrices para el ajuste de rendimiento, descripciones de losvalores del sistema e información sobre la recopilación de datos de rendimiento,la recopilación de datos de utilización del sistema, la utilización de entradas detrabajo y la planificación de trabajos de proceso por lotes.


||||

Índice

CaracteresEspeciales*ALWPTF 5(ICSS), Internet Connection Secure

Server 9*IOSYSCFG (configuración del sistema),

autorización especialnecesaria para mandatos de

configuración APPC 149(IP) Protocolo Internet, filtrado de

paquetes 7, 168(NAT), Conversión de direcciones de

red 168*PGMADP (adopción de programa), nivel

de auditoría 110(PPP), Protocolo punto a punto 8(PRTPUBAUT), mandato, Imprimir

objetos con autorizaciones de usopúblico 139

(PRTPUBAUT), mandato Imprimirautorización de uso público 6

(PRTPVTAUT), mandato, Imprimirobjetos con autorización privada 138

(PRTPVTAUT) mandato, Imprimirautorización privada 6

(QVFYOBJRST) valor del sistema verificarobjetos en restauración

firma digital 108valores del sistema de restauración

valores del sistema de restauración(QVFYOBJRST) 108

(RSTUSRPRF) mandato, Restaurar perfilde usuario 6

*SAVSYS (salvar sistema), autorizaciónespecial

control 117(SNMP), protocolo simple de gestión de

red 216(SSL), Capa de Sockets Segura 5*VFYENCPWD (verificar contraseña

cifrada), valor 151, 157(VPN), Red privada virtual 5

Aacceso

control 59Acceso a los directorios de iSeries 400 a

través de unidadescorrelacionadas 239

Acceso al sistema de archivos QSYS.LIB,restricción 140

acceso de petición de cliente (PCSACC),atributo de red

fuente del programa de salida deejemplo 233

restringir el acceso a datos desdePC 221

acceso de petición de cliente (PCSACC),atributo de red (continuación)

utilización de programa desalida 114

Acceso limitado a las funciones delprograma 6

acción al llegar al límite de intentos deinicio de sesión (QMAXSGNACN),valor del sistema

valor establecido por el mandatoCFGSYSSEC 53

valor recomendado 34acción de recuperación de dispositivo

(QDEVRCYACN), valor del sistemaevitar riesgos en la seguridad 155valor establecido por el mandato

CFGSYSSEC 53valor recomendado 34

acción de trabajo de red (JOBACN),atributo de red 155

acciones de auditoría 69activación

perfil de usuario 36, 43actualización, autorización, V4R2 7ADDJOBSCDE (Añadir entrada de

planificación de trabajos), mandatoSECBATCH, menú 46

ADDPFRCOL (Añadir recogida delrendimiento), mandato

programa de salida 114ADDSRVTBLE (Añadir entrada de tabla

de servicios), mandato 86Administración de aplicaciones de

Operations Navigator 6adopción de programa (*PGMADP), nivel

de auditoría 110almacenamiento

contraseñas 40umbral

receptor de diario de auditoría(QAUDJRN) 70

análisisanomalía de programa 68autorización sobre objeto 67perfil de usuario

por autorizaciones especiales 48por clases de usuario 48

perfiles de usuario 65Analizar actividad de perfil

(ANZPRFACT), mandatocreación de usuarios exentos 43descripción 43utilización sugerida 37

Analizar contraseñas por omisión(ANZDFTPWD), mandato

descripción 43utilización sugerida 39

anomalía de programaauditoría 68

anotaciones de seguridad deherramientas de servicio

utilización 96ver actividad 96

anotaciones de seguridad del sistemaver 94

ANZDFTPWD (Analizar contraseñas poromisión), mandato


ANZPRFACT (Analizar actividad deperfil), mandato

creación de usuarios exentos 43descripción 43utilización sugerida 37

Añadir Entrada de planificación detrabajos (ADDJOBSCDE), mandato

SECBATCH, menú 46Añadir recogida del rendimiento

(ADDPFRCOL), mandatoprograma de salida 114

API, Creación de un archivo continuo conopen() o creat() 142

API, creación de un directorio 142API de Llamada de programa

distribuido 229API QHFRGFS

programa de salida 114API QTNADDCR

programa de salida 114aplicaciones, Operations Navigator,

administración de 6Aplicaciones Java 235APPC (comunicaciones avanzadas

programa a programa)asignación de perfil de usuario 152consejos de seguridad 147descripción de controlador

CPSSN (sesiones de punto decontrol), parámetro 159

parámetro AUTOCRTDEV(creación automática dedispositivo) 159

parámetros relativos a laseguridad 159

temporizador de desconexión,parámetro 159

descripción de dispositivoAPPN (posibilidad de APPN),

parámetro 158arranque de programa SNUF,

parámetro 158función en la seguridad 148LOCPWD (contraseña de

ubicación), parámetro 148parámetros relativos a la

seguridad 156PREESTSSN (sesión

preestablecida), parámetro 158protección con APPN 149


APPC (comunicaciones avanzadasprograma a programa) (continuación)

proteger ubicación (SECURELOC),parámetro 157

restricción con autorización sobreobjeto 149

SECURELOC (proteger ubicación),parámetro 148, 151

SNGSSN (una sola sesión),parámetro 158

descripción de línea 160AUTOANS (respuesta automática),

campo 160AUTODIAL (marcación

automática), campo 160parámetros relativos a la

seguridad 160elementos básicos 148evaluación de la configuración 156,

160identificación de un usuario 150inicio de trabajo de paso a través 153mandato remoto 155

restricción con la entradaPGMEVOKE 155

repartir responsabilidad de laseguridad 151

restricción de sesiones 149sesión 148terminología 147valores de seguridad con arquitectura

con el parámetro SECURELOC(proteger ubicación) 151

descripción 150ejemplos de aplicación 150

APPC, elementos básicos de lascomunicaciones 148

applets firmados, confianza 240Applets Java 236archivo

herramientas de seguridad 41archivo de base de datos

programa de salida para informaciónde uso 114

protección del acceso desde PC 221archivo lógico

programa de salida para selección deformato de registro 114

archivos, QFileSvr.400, sistema de 143archivos, QLANSrv y QNetWare,

sistemas de 143Archivos, restricción del acceso al sistema

QSYS.LIB 140Archivos, seguridad para raíz (/),

QOpenSys y definidos por usuario,sistemas de 137

archivos de base de datos, autorizacionesa nivel de columna 7

archivos de configuración, TCP/IPrestricción del acceso 170

archivos de red, sistema 144arquitectura, valores de seguridad con



Arrancar emulación de pantalla 3270(STREML3270), mandato

programa de salida 114Arrancar supervisión del rendimiento

(STRPFRMON), mandatoprograma de salida 114

Arrancar TCP/IP (STRTCP), mandatorestringir 167

arranque de programa SNUF,parámetro 158

Asesor de seguridad iSeries 400 21, 23Asesor de seguridad iSeries 400e 6asignación

perfil de usuario para trabajoAPPC 152

Asistente de seguridad iSeries 400 6, 21atributo de red

DDMACC (acceso a petición DDM)fuente del programa de salida de

ejemplo 233restringir el acceso a datos desde

PC 221restringir mandatos remotos 229utilización de programa de

salida 114, 155impresión relativa a la seguridad 19,

48JOBACN (acción de trabajo de

red) 155mandato para establecer 52PCSACC (acceso de petición de

cliente)fuente del programa de salida de

ejemplo 233restringir el acceso a datos desde

PC 221utilización de programa de

salida 114atributos de seguridad

impresión 19auditoría

anomalía de programa 68autorización sobre objeto 67integridad de objetos 67, 68

auditoría, acciones 69auditoría, diario

trabajar con 72auditoría, receptor de diario

salvar 72umbral de almacenamiento 70

auditoría de funciones de seguridad 64auditoría de seguridad

introducción 18, 64operaciones de restauración 118puesta a punto 44sugerencias para la utilización

auditoría de objetos 167CP (Cambiar perfil), entrada de

diario 36, 37entrada de diario SV (valor del

sistema) 118nivel de auditoría *PGMADP 110valor *PGMFAIL 108valor *SAVRST 108valor *SECURITY 108visión general 130

visualización 44

AUTOANS (respuesta automática),campo 160

AUTOCRTCTL (creación automática decontrolador), parámetro 159

AUTODIAL (marcación automática),campo 160

autorización*SAVSYS (salvar sistema), autorización

especial 117control 117

acceso a datos por usuarios dePC 222

acceso a mandatos de restaurar 118acceso a mandatos de salvar 118adoptada 109

auditoría 68limitación 110supervisión 109

colas de salida 81colas de trabajos 81complementar con control de acceso a

menús 61cuándo se impone 59de uso público 73en el nivel de seguridad 10 ó 20 59entorno de transición 61especial 82gestión 73herramientas de

seguridadmandatos 41idiomas nacionales 64iniciación a 61introducción 15, 16objetos nuevos 74seguridad de bibliotecas 63supervisión 73, 80visión general 59

autorización adoptadacon ODBC 226impresión de lista de objetos 48limitación 110procedimientos almacenados 226supervisión de utilización 109

Autorización de actualización, V4R2 7Autorización de referencias 7autorización de uso público

impresión 49revocar 52revocar con el mandato

RVKPUBAUT 55supervisión 73

autorización de uso público mandato(PRTPUBAUT), Imprimir 6

Autorización de uso público para eldirectorio raíz 137

autorización especial*SAVSYS (salvar sistema)

control 117análisis de asignación 48discrepancia con clase de usuario 83listado de usuarios 66supervisión 82

autorización privadasupervisión 80

autorización privada (PRTPVTAUT)mandato, Imprimir 6


autorización sobre objeto*SAVSYS (salvar sistema), autorización

especial 117control 117

acceso a datos por usuarios dePC 222

acceso a mandatos de restaurar 118acceso a mandatos de salvar 118adoptada 109

limitación 110supervisión 109

análisis 67colas de salida 81colas de trabajos 81complementar con control de acceso a

menús 61cuándo se impone 59de uso público 73en el nivel de seguridad 10 ó 20 59entorno de transición 61especial 82gestión 73herramientas de

seguridadmandatos 41idiomas nacionales 64iniciación a 61introducción 15, 16objetos nuevos 74seguridad de bibliotecas 63supervisión 73, 80visión general 59visualización 67

Autorizaciones de nivel de columna paraarchivos de base de datos 7

Avisos 249ayuda 253

Bbajada

autorización necesaria 222base de datos, autorizaciones a nivel de

columna para archivos de 7bibliografía 255biblioteca

listadocontenido 67todas las bibliotecas 67

biblioteca actual (CURLIB),parámetro 83

biblioteca protegidacomprobación de objetos de

usuario 118BOOTP (Protocolo Bootstrap)

consejos de seguridad 186restricción de puerto 186

CC2, seguridad

descripción 247caballo de Troya

comprobación de 114descripción 113heredar autorización adoptada 112

caducidadperfil de usuario

definición de planificación 38, 43visualización de planificación 43

Cambiar auditoría de seguridad(CHGSECAUD), mandato


Cambiar copia de seguridad(CHGBCKUP), mandato

programa de salida 114Cambiar descripción de mensaje

(CHGMSGD), mandatoprograma de salida 114

Cambiar diario (CHGJRN), mandato 70,72

Cambiar entrada de planificación deactivación (CHGACTSCDE), mandato


Cambiar entrada de planificación decaducidad (CHGEXPSCDE), mandato


Cambiar lista de bibliotecas del sistema(CHGSYSLIBL), mandato

restricción del acceso 118Cambiar lista de perfiles activos

(CHGACTPRFL), mandatodescripción 43utilización sugerida 37

Cambiar recogida del rendimiento(CHGPFRCOL), mandato

programa de salida 114cambio

auditoría de seguridad 44contraseñas con Herramientas de

Servicio Dedicado (DST) 32contraseñas conocidas

públicamente 31contraseñas proporcionadas por

IBM 31lista de perfiles activos 43mensajes de error de inicio de

sesión 35receptor de diario de auditoría 70, 72uid 145

capa de sockets segura (SSL)utilización con Client Access

Express 224Capa de Sockets Segura (SSL) 5CFGSYSSEC (Configurar seguridad del

sistema), mandatodescripción 52utilización sugerida 25

cifradocomunicaciones TCP/IP 179, 184contraseña

sesiones de PC 227cifrado irreversible 39clase de usuario

análisis de asignación 48discrepancia con autorización

especial 83Client Access

autorización sobre objeto 222cifrado de contraseñas 227

Client Access (continuación)control del acceso a datos 221evitar virus en PC 221ignorar inicio de sesión 228implicaciones de seguridad 221implicaciones del sistema de archivos

integrado 222métodos de acceso a datos 221protección de mandatos remotos 229restringir mandatos remotos 229servidores de pasarela 230transferencia de archivos 221virus en PC 221

Client Access Express 5utilización de SSL con 224

Client Access Express, utilización deSSL 224

clientes Windows 95, puesta decontraseñas en antememoria para 8

cola de mensajes (MSGQ), parámetro 83cola de mensajes de trabajo inactivo

(QINACTMSGQ), valor del sistemavalor establecido por el mandato


cola de salidaimpresión de parámetros relativos a la

seguridad 50impresión de perfiles de usuario 83supervisión del acceso 81

cola de trabajosimpresión de parámetros relativos a la

seguridad 50supervisión del acceso 81

Cómo evitar que los usuarios demarcación accedan a otrossistemas 175

comprobacióncontraseñas por omisión 43integridad de objetos 48, 108

descripción 67, 68objetos alterados 67, 68programas ocultos 114

Comprobar integridad de objetos(CHKOBJITG), mandato

descripción 48, 67, 68utilización sugerida 108

Comunicaciones, elementos básicos deAPPC 148

comunicaciones, seguridad deAPPC 147

comunicaciones inalámbricas 231comunicaciones TCP/IP

BOOTP (Protocolo Bootstrap)consejos de seguridad 186restricción de puerto 186

consejos para la seguridad 167DHCP (Protocolo de configuración

dinámica de sistema principal(DHCP))


DNS (sistema de nombres de dominio(DNS))


entrada preventiva 167

Índice 259

comunicaciones TCP/IP (continuación)FTP (protocolo de transferencia de

archivos)contraseñas no cifradas 184evitar autoarranque del

servidor 183fuente del programa de salida de

ejemplo 233QMAXSIGN (número máximo de

intentos de inicio de sesión),valor del sistema 184

restricción de puerto 183restringir el soporte de proceso por

lotes 185HTTP (Protocolo de Transferencia de

Hipertexto)restricción de puerto 213

Internet Connection Secure Server(ICSS)

consejos de seguridad 206descripción 206

Internet Connection Server (ICS)consejos de seguridad 200descripción 200evitar autoarranque del

servidor 201LPD (daemon de impresora de líneas)

consejos de seguridad 215descripción 215evitar autoarranque del

servidor 215restricción de puerto 215

POP (Protocolo de Oficina Postal)consejos de seguridad 198descripción 198evitar autoarranque del


proteger aplicaciones de puerto 170restringir

archivos de configuración 170dirección Internet del gestor

(INTNETADR), parámetro 217mandato STRTCP 167salidas 218vagar 218

REXECD (servidor de EXECutionremoto)


RouteD (Daemon de ruta)consejos de seguridad 192

SLIP (Protocolo de Línea de InterfazSerie)

control 172descripción 172seguridad de marcación 175seguridad de marcación de

entrada 173SMTP (protocolo simple de

transferencia de correo)consejos de seguridad 194descripción 194evitar autoarranque del

servidor 194inundación 195restricción de puerto 194

comunicaciones TCP/IP (continuación)SNMP (protocolo simple de gestión de

red)consejos de seguridad 216, 217evitar autoarranque del


TELNETconsejos de seguridad 178contraseñas no cifradas 179evitar autoarranque del

servidor 178inicio de sesión automático 181programa de salida 180QAUTOVRT (configuración

automática del dispositivovirtual), valor del sistema 179

QLMTSECOFR (responsable deseguridad de límites), valor delsistema 181

QMAXSIGN (número máximo deintentos de inicio de sesión),valor del sistema 179

QRMTSIGN (inicio de sesiónremoto), valor del sistema 181

restricción de puerto 178TFTP (protocolo trivial de

transferencia de archivos)consejos de seguridad 189restricción de puerto 189

WSG (Workstation Gateway Server)consejos de seguridad 212descripción 212evitar autoarranque del

servidor 213Conceptos básicos de una sesión

APPC 148conectividad de base de datos abierta

(ODBC)control de acceso 226fuente del programa de salida de

ejemplo 233Conexiones, marcación SLIP ,

control 173confianza en applets firmados 240configuración automática (QAUTOCFG),

valor del sistemavalor establecido por el mandato


configuración automática de dispositivovirtual (QAUTOVRT), valor del sistema

TELNET 179valor establecido por el mandato


configuración del sistema (*IOSYSCFG),autorización especial

necesaria para mandatos deconfiguración APPC 149

Configurar seguridad del sistema(CFGSYSSEC), mandato


Consejos de seguridad 183Consideraciones sobre seguridad para

Java 235

Consideraciones sobre seguridad para losnavegadores 239

Consola de operacionesasistente de configuración 106autenticación de dispositivo 104autenticación de usuario 104conectividad directa 104, 105conectividad LAN 104, 105consola remota 103criptografía 103integridad de datos 105perfiles de usuario 103perfiles de usuario de herramientas de

servicio 103privacidad de datos 104utilización 103

Consola de operaciones con conectividadLAN

asistente de configuracióncontraseña de perfil de dispositivo

de herramientas de servicio 106perfil de dispositivo de

herramientas de servicio 106cambio de contraseña 105utilización 105

contenidoherramientas de seguridad 42

contraseñaalmacenamiento 40cambio con Herramientas de Servicio

Dedicado (DST) 32cambio de la proporcionada por

IBM 31cifrado

comunicaciones TCP/IP 179, 184sesiones de PC 227

cifrado irreversible 39comprobación del valor por

omisión 43definir normas 25diferencia necesaria (QPWDRQDDIF),



exigir carácter numérico(QPWDRQDDGT), valor del sistema


valor recomendado 25intervalo de caducidad

(QPWDEXPITV), valor del sistemavalor establecido por el mandato


limitar caracteres repetidos(QPWDLMTREP), valor del sistema


valor recomendado 25longitud máxima (QPWDMAXLEN),




contraseña (continuación)longitud mínima (QPWDMINLEN),



necesidad de diferente posición encontraseña (QPWDPOSDIF), valordel sistema


valor recomendado 25por omisión 38programa de validación

(QPWDVLDPGM), valor del sistemavalor establecido por el mandato


QPGMR (programador), perfil deusuario 54

QSRV (servicio), perfil de usuario 54QSRVBAS (servicio básico), perfil de

usuario 54QSYSOPR (operador del sistema),

perfil de usuario 54QUSER (usuario), perfil de

usuario 54restringir caracteres

(QPWDLMTCHR), valor del sistemavalor establecido por el mandato


restringir caracteres adyacentes(QPWDLMTAJC), valor del sistema


valor recomendado 25supervisión de actividad 39

contraseña conocida públicamentecambio 31

contraseña de ubicaciónAPPN 149

contraseña de ubicación (LOCPWD),parámetro 148

contraseña por omisión del sistemaQSECOFR 95

contraseña por omisión del sistemaoperativo

restablecer 95contraseñas

cambio 31control

*SAVSYS (salvar sistema), autorizaciónespecial 117

accesoa mandatos de restaurar 118a mandatos de salvar 118de la información 59

acceso a datos desde PC 221autorización adoptada 109, 110cambios en la lista de bibliotecas 118conectividad de base de datos abierta

(ODBC) 226contraseñas 25descripción de dispositivo APPC 149descripciones de subsistema 123

control (continuación)dirección Internet del gestor

(INTNETADR), parámetro 217inicio de sesión 25mandatos remotos 155, 229nombres de programas de

transacciones con arquitectura 127PC (personal computer) 221posibilidad de restaurar 117posibilidad de salvar 117programas de salida 114programas desencadenantes 113programas planificados 117sesiones APPC 149Soporte de proceso por lotes de

FTP 185TCP/IP

archivos de configuración 170entrada 167salidas 218

transferencia de archivos delSistema/36 64

control de acceso a menúscomplementar con autorización sobre

objetos 61descripción 60entorno de transición 61limitaciones 60parámetros de perfil de usuario 60

control de auditoría (QAUDCTL), valordel sistema

cambio 44visualización 44

Control de conexiones de marcaciónSLIP 173

Control de los servidores TCP/IP que seinician automáticamente 170

conversión de direcciones de red,NAT 7

Conversión de direcciones de red(NAT) 168

CP (Cambiar perfil), entrada de diarioutilización sugerida 36, 37

CPF1107, mensaje 35CPF1120, mensaje 35CPSSN (sesiones de punto de control),

parámetro 159creación automática de controlador

(AUTOCRTCTL), parámetro 159Creación de un archivo continuo con las

API open() o creat() 142Creación de un directorio con una

API 142Creación de un objeto utilizando una

interfaz de PC 142Crear carga de producto (CRTPRDLOD),

mandatoprograma de salida 114

Crear directorio, mandato 142CRTPRDLOD (Crear carga de producto),

mandatoprograma de salida 114

CHCHGACTPRFL (Cambiar lista de perfiles

activos), mandatodescripción 43utilización sugerida 37

CHGACTSCDE (Cambiar entrada deplanificación de activación), mandato


CHGBCKUP (Cambiar copia deseguridad), mandato

programa de salida 114CHGEXPSCDE (Cambiar entrada de

planificación de caducidad), mandatodescripción 43utilización sugerida 38

CHGJRN (Cambiar diario), mandatodesconexión del receptor 70, 72

CHGMSGD (Cambiar descripción demensaje), mandato

programa de salida 114CHGPFRCOL (Cambiar recogida del

rendimiento), mandatoprograma de salida 114

CHGSECAUD (Cambiar auditoría deseguridad), mandato


CHGSYSLIBL (Cambiar lista debibliotecas del sistema), mandato

restricción del acceso 118CHKOBJITG (Comprobar integridad de

objetos), mandatodescripción 48, 67, 68utilización sugerida 108

Ddaemon de impresora de líneas (LDP)

consejos de seguridad 215descripción 215evitar autoarranque del servidor 215restricción de puerto 215

Daemon de ruta (RouteD)consejos de seguridad 192

datos de seguridad de herramientas deservicio

restauracióncinta 97óptico 97

restauración de perfilesseleccionados 97

restauración de todos los perfiles 97salvar

cinta 97óptico 97

datos de seguridad de servicioutilización 94

DDMACC (acceso a petición DDM),atributo de red



restringir mandatos remotos 229

Índice 261

DDMACC (acceso a petición DDM),atributo de red (continuación)

utilización de programa desalida 114, 155

definiciónatributos de red 52valores de seguridad 52valores del sistema 52

desactivaciónperfil de usuario 36

desconexiónreceptor de diario 70receptor de diario de auditoría 70, 72

descripción de controladorimpresión de parámetros relativos a la

seguridad 48descripción de dispositivo

impresión de parámetros relativos a laseguridad 48

descripción de dispositivo de impresoraprograma de salida para páginas

separadoras 114descripción de subsistema

consejos de seguridadentrada de cola de trabajos 125entrada de comunicaciones 125entrada de direccionamiento 125entrada de nombre de estación de

trabajo 124entrada de nombre de ubicación

remota 125entrada de tipo de estación de

trabajo 124entrada de trabajo de arranque

automático 124entrada de trabajo de

prearranque 126consideraciones de seguridad 33entrada de comunicaciones

modalidad 152usuario por omisión 152

entrada de direccionamientoeliminación de la entrada

PGMEVOKE 155impresión de parámetros relativos a la

seguridad 48supervisión de valores relevantes para

la seguridad 123valores relevantes para la

seguridad 123descripción de trabajo

consejos de seguridad 126impresión de parámetros relativos a la

seguridad 48impresión de perfiles de usuario 83

Detección de programassospechosos 107

DHCP (Protocolo de configuracióndinámica de sistema principal (DHCP))


diariogestión 70

diario de auditoríaimpresión de entradas 48trabajar con 72

diario de auditoría (QAUDJRN)cambio del receptor 72dañado 70desconexión del receptor 70, 72entradas del sistema 70gestión 69limpieza automática 70umbral de almacenamiento de

receptor 70diario de auditoría dañado 70diario de auditoría de seguridad

impresión de entradas 48diferencia necesaria en contraseña

(QPWDRQDDIF), valor del sistemavalor establecido por el mandato

CFGSYSSEC 53dirección Internet del gestor

(INTNETADR), parámetrorestringir 217

direccionamiento de nodointermedio 158

Directorio raíz, autorización de usopúblico 137

directorios, seguridad 141DLTJRNRCV (Suprimir receptor de

diario), mandatoparo de la función de auditoría 72

DNS (sistema de nombres de dominio(DNS))


DSPACTPRFL (Visualizar lista de perfilesactivos)

descripción 43DSPACTSCD (Visualizar planificación de

activación), mandatodescripción 43

DSPAUDJRNE (Visualizar entradas dediario de auditoría), mandato


DSPAUTUSR (Visualizar usuariosautorizados), mandato

auditoría 65DSPEXPSCD (Visualizar planificación de

caducidad), mandatodescripción 43utilización sugerida 38

DSPLIB (Visualizar biblioteca), mandatoutilización 67

DSPOBJAUT (Visualizar autorizaciónsobre objeto), mandato

utilización 67DSPOBJD (Visualizar descripción de

objeto), mandatouso de archivo de salida 66

DSPPGMADP (Visualizar programas queadoptan), mandato

auditoría 68DSPSECAUD (Visualizar auditoría de

seguridad), mandatodescripción 44

DSPUSRPRF (Visualizar perfil deusuario), mandato

uso de archivo de salida 66DST (Herramientas de Servicio Dedicado)

cambio de contraseñas 32

DST (Herramientas de ServicioDedicado) (continuación)

contraseñas 34

EEjecutar mandato remoto

(RUNRMTCMD), mandatorestringir 229

Elementos básicos de las comunicacionesAPPC 148

elementos básicos de seguridad 13eliminación

entradas de direccionamientoPGMEVOKE 155

perfil de usuarioautomática 38, 43

perfiles de usuario inactivos 37empantanarse 195emulación de dispositivo 3270

programa de salida 114ENDPFRMON (Finalizar supervisión del


enlace protegido 148entorno de usuario

supervisión 83entrada de cola de trabajos

consejos de seguridad 125entrada de comunicaciones

consejos de seguridad 125modalidad 152usuario por omisión 152

entrada de diarioCP (Cambiar perfil)

utilización sugerida 36, 37envío 69recibir

programa de salida 114entrada de diario SV (valor del sistema)

utilización sugerida 118entrada de direccionamiento

consejos de seguridad 125eliminación de la entrada

PGMEVOKE 155entrada de estación de trabajo

consideraciones de seguridad 33entrada de nombre de estación de trabajo

consejos de seguridad 124entrada de nombre de ubicación remota

consejos de seguridad 125entrada de pedidos (OEMENU),

menú 60entrada de tipo de estación de trabajo

consejos de seguridad 124Enviar entrada de diario (SNDJRNE)

command 69envío

entrada de diario 69Establecer programa de atención

(SETATNPGM), mandatoprograma de salida 114

evaluaciónprogramas planificados 117salida registrada 116


evitarconflictos de archivos de las

herramientas de seguridad 41evitar y detectar fechorías 121explorar

alteraciones de objetos 67, 68

Ffechorías, evitar y detectar 121Filtrado de paquetes de Protocolo

Internet (IP) 7, 168Finalizar supervisión del rendimiento

(ENDPFRMON), mandatoprograma de salida 114

Firewall para iSeries 400 9firma de objetos 122

introducción 122firmas digitales

introducción 122física, seguridad 121FMTSLR (programa de selección de

formato de registro), parámetro 114forzar

creación de programa 108forzar creación (FRCCRT),

parámetro 108FRCCRT (forzar creación),

parámetro 108FTP (protocolo de transferencia de

archivos) 183contraseñas no cifradas 184evitar autoarranque del servidor 183fuente del programa de salida de


intentos de inicio de sesión), valordel sistema 184


lotes 185fuente

programas de salida deseguridad 233

función del sistema de archivosprograma de salida 114

funciones, acceso limitado a las delprograma 6

funciones de seguridad, auditoría 64

Ggestión

autorización 73autorización adoptada 109, 110autorización de uso público 73autorización especial 82autorización privada 80autorización sobre objetos nuevos 74colas de salida 81colas de trabajos 81descripción de subsistema 123diario de auditoría 69entorno de usuario 83listas de autorizaciones 74posibilidad de restaurar 108, 117

gestión (continuación)posibilidad de salvar 108, 117programas desencadenantes 113programas planificados 117

gestión de red (SNMP), protocolosimple 216

Hhabilitación

perfil de usuarioautomática 43

herramientas de seguridadarchivos 41autorización para mandatos 41conflictos de archivos 41contenido 42mandatos 42menús 42protección de la salida 41puesta a punto 41salvar 42seguridad 41

Herramientas de seguridad (SECTOOLS),menú 42

herramientas de servicioherramientas de servicio (perfiles de

usuario) 84Herramientas de Servicio Dedicado (DST)

cambio de contraseñas 32contraseñas 34

herramientas de servicio del sistema(SST)

inicio de sesión 98HTTP (Protocolo de Transferencia de

Hipertexto)restricción de puerto 213

HTTP, servidor proxy 7husmear 179, 228

IIBM Firewall para iSeries 400, VPN 7IBM SecureWay 253ICS (Internet Connection Server)

consejos de seguridad 200descripción 200evitar autoarranque del servidor 201

ICSS (Internet Connection Secure Server)consejos de seguridad 206descripción 206

identificaciónusuario de APPC 150

ignorar inicio de sesiónimplicaciones de seguridad 228

impresiónatributos de red 48atributos de seguridad del

sistema 19entradas de diario de auditoría 48información de lista de

autorizaciones 48, 75información sobre objeto

adoptado 48lista de objetos no IBM 48

impresión (continuación)lista de programas

desencadenantes 114objetos con autorización de uso

público 49parámetros de cola de salida relativos

a la seguridad 50parámetros de cola de trabajos

relativos a la seguridad 50programas desencadenantes 48valores de comunicaciones relativos a

la seguridad 48valores de descripción de subsistema

relativos a la seguridad 48valores del sistema 48

Imprimir atributos de seguridad delsistema (PRTSYSSECA), mandato

descripción 48ejemplo de salida 19utilización sugerida 25

Imprimir autorización de cola(PRTQAUT), mandato


Imprimir autorización de descripción detrabajo (PRTJOBDAUT), mandato


Imprimir autorización de uso público,mandato (PRTPUBAUT) 6

Imprimir autorización privada(PRTPVTAUT), mandato 6

Imprimir autorizaciones privadas(PRTPVTAUT), mandato

descripción 50ejemplo 81lista de autorizaciones 48, 75utilización sugerida 149

Imprimir descripción de subsistema(PRTSBSDAUT), mandato


Imprimir objetos con autorización de usopúblico (PRTPUBAUT), mandato

descripción 49utilización sugerida 74, 149

Imprimir objetos con autorizaciónprivada (PRTPVTAUT), mandato 138

Imprimir objetos con autorizaciones deuso público (PRTPUBAUT),mandato 139

Imprimir objetos de usuario(PRTUSROBJ), mandato


Imprimir objetos que adoptan(PRTADPOBJ), mandato


Imprimir perfil de usuario (PRTUSRPRF),mandato

autorizaciones especiales, ejemplo 82descripción 48discrepancias, ejemplo 83información de contraseña 37, 39información del entorno, ejemplo 84

Índice 263

Imprimir programas desencadenantes(PRTTRGPGM), mandato


Imprimir seguridad de comunicaciones(PRTCMNSEC), mandato

descripción 48ejemplo 156, 160

Imprimir valores internos de perfil(PRTPRFINT), mandato 6

inactivousuario

listado 66INETD 217Informe de objetos adoptados por perfil

de usuario 110Informe Visualizar objetos de lista de

autorizaciones Informe Lista deobjetos 75

inhabilitaciónperfil de usuario

automática 37, 43impacto 38

iniciación aherramientas de seguridad 41

iniciotrabajo de paso a través 153

inicio automático, control de losservidores TCP/IP 170

inicio de sesióncontrol 25establecimiento de valores del

sistema 34ignorar 228sin ID de usuario y contraseña 33supervisión de intentos 39

Inicio de sesión, pantallacambio de mensajes de error 35

inicio de sesión automáticoTELNET 181

inicio de sesión remoto (QRMTSIGN),valor del sistema

TELNET 181Integrado, sistema de archivos 133integridad

comprobacióndescripción 67, 68

integridad de objetosauditoría 67, 68

Internet Connection Secure Server(ICSS) 9

consejos de seguridad 206descripción 206

Internet Connection Server 9Internet Connection Server (ICS)


intervalo de tiempo de espera de trabajodesconectado (QDSCJOBITV), valor delsistema


valor recomendado 34

intervalo de tiempo de espera de trabajoinactivo (QINACTITV), valor delsistema


valor recomendado 34INTNETADR (dirección Internet del

gestor), parámetrorestringir 217

inundación 195iSeries 400, acceso a los directorios a

través de unidadescorrelacionadas 239

iSeries 400, Asesor de seguridad 23iSeries 400, Asistente de seguridad 6, 21iSeries 400, mandato Crear

directorio 142iSeries 400, Servidor HTTP 4, 7iSeries 400e, Asesor de seguridad 6

JJava, aplicaciones 235Java, applets 236Java, consideraciones sobre

seguridad 235Java, servlets 236JOBACN (acción de trabajo de red),

atributo de red 155

LLightweight Directory Access Protocol

(LDAP)características de seguridad 207, 212consideraciones 212ejemplo 211estructura de directorio

atributos 208entradas 208objetos 208tipo 208

introducción 208usos 208

limitaciónadoptada 110posibilidades

listado de usuarios 66limpieza, automática

programa de salida 114limpieza automática

programa de salida 114lista de autorizaciones

controlar Utilizar autorizaciónadoptada 112

impresión de información deautorización 48, 75

supervisión 74lista de bibliotecas

implicaciones de seguridad 118lista de bibliotecas del sistema

(QSYSLIBL), valor del sistemaprotección 118

lista de copia de seguridadprograma de salida 114

lista de perfiles activoscambio 43

listadocontenido de biblioteca 67perfiles de usuario seleccionados 66todas las bibliotecas 67

LOCPWD (contraseña de ubicación),parámetro 148

LP, seguridad 99LPD (daemon de impresora de líneas)


LLllamada no calificada 118lleno


Mmandato

revocar autorización de usopúblico 52

mandato, CLADDJOBSCDE (Añadir entrada de

planificación de trabajos)SECBATCH, menú 46

ADDPFRCOL (Añadir recogida delrendimiento)

programa de salida 114ANZDFTPWD (Analizar contraseñas

por omisión)descripción 43utilización sugerida 39

ANZPRFACT (Analizar actividad deperfil)

creación de usuarios exentos 43descripción 43utilización sugerida 37

Cambiar diario (CHGJRN) 70, 72CFGSYSSEC (Configurar seguridad

del sistema)descripción 52utilización sugerida 25

Comprobar integridad de objetos(CHKOBJITG)

descripción 67, 68CRTPRDLOD (Crear carga de

producto)programa de salida 114

CHGACTPRFL (Cambiar lista deperfiles activos)


CHGACTSCDE (Cambiar entrada deplanificación de activación)


CHGBCKUP (Cambiar copia deseguridad)

programa de salida 114


mandato, CL (continuación)CHGEXPSCDE (Cambiar entrada de

planificación de caducidad)descripción 43utilización sugerida 38

CHGJRN (Cambiar diario) 70, 72CHGMSGD (Cambiar descripción de

mensaje)programa de salida 114

CHGPFRCOL (Cambiar recogida delrendimiento)

programa de salida 114CHGSECAUD (Cambiar auditoría de

seguridad)descripción 44utilización sugerida 130

CHGSYSLIBL (Cambiar lista debibliotecas del sistema)

restricción del acceso 118CHKOBJITG (Comprobar integridad

de objetos)descripción 48, 67, 68utilización sugerida 108

DLTJRNRCV (Suprimir receptor dediario) 72

DSPACTPRFL (Visualizar lista deperfiles activos)

descripción 43DSPACTSCD (Visualizar planificación

de activación)descripción 43

DSPAUDJRNE (Visualizar entradas dediario de auditoría)


DSPAUTUSR (Visualizar usuariosautorizados)

auditoría 65DSPEXPSCD (Visualizar planificación

de caducidad)descripción 43utilización sugerida 38

DSPLIB (Visualizar biblioteca) 67DSPOBJAUT (Visualizar autorización

sobre objeto) 67DSPOBJD (Visualizar descripción de

objeto)uso de archivo de salida 66

DSPPGMADP (Visualizar programasque adoptan)

auditoría 68DSPSECAUD (Visualizar auditoría de

seguridad)descripción 44

DSPUSRPRF (Visualizar perfil deusuario)

uso de archivo de salida 66ENDPFRMON (Finalizar supervisión

del rendimiento)programa de salida 114

Enviar entrada de diario(SNDJRNE) 69

herramientas de seguridad 42planificación de activación 43PRTADPOBJ (Imprimir objetos que

adoptan)descripción 48

mandato, CL (continuación)PRTADPOBJ (Imprimir objetos que

adoptan) (continuación)utilización sugerida 110

PRTCMNSEC (Imprimir seguridad decomunicaciones)


PRTJOBDAUT (Imprimir autorizaciónde descripción de trabajo)


PRTPUBAUT (Imprimir objetos conautorización de uso público)


PRTPVTAUT (Imprimir autorizacionesprivadas)


PRTQAUT (Imprimir autorización decola)


PRTSBSDAUT (Imprimir descripciónde subsistema)


PRTSYSSECA (Imprimir atributos deseguridad del sistema)


PRTTRGPGM (Imprimir programasdesencadenantes)


PRTUSROBJ (Imprimir objetos deusuario)


PRTUSRPRF (Imprimir perfil deusuario)

autorizaciones especiales,ejemplo 82

descripción 48discrepancias, ejemplo 83información de contraseña 37, 39información del entorno,

ejemplo 84RCVJRNE (Recibir entradas de diario)

programa de salida 114RUNRMTCMD (Ejecutar mandato

remoto)restringir 229

RVKPUBAUT (Revocar autorizaciónde uso público)

descripción 52detalles 55utilización sugerida 123

Salvar objeto (SAVOBJ) 72SAVOBJ (Salvar objeto) 72SBMJOB (Someter trabajo)

SECBATCH, menú 45

mandato, CL (continuación)SBMRMTCMD (Someter mandato

remoto)restringir 155

SETATNPGM (Establecer programa deatención)

programa de salida 114SNDJRNE (Enviar entrada de

diario) 69STREML3270 (Arrancar emulación de

pantalla 3270)programa de salida 114

STRPFRMON (Arrancar supervisióndel rendimiento)

programa de salida 114STRTCP (Arrancar TCP/IP)

restringir 167Suprimir receptor de diario

(DLTJRNRCV) 72Trabajar con atributos de diario

(WRKJRNA) 72Trabajar con diario (WRKJRN) 72TRCJOB (Rastrear trabajo)

programa de salida 114Visualizar autorización sobre objeto

(DSPOBJAUT) 67Visualizar biblioteca (DSPLIB) 67Visualizar descripción de objeto

(DSPOBJD)uso de archivo de salida 66

Visualizar perfil de usuario(DSPUSRPRF)

uso de archivo de salida 66Visualizar programas que adoptan

(DSPPGMADP)auditoría 68

Visualizar usuarios autorizados(DSPAUTUSR)

auditoría 65WRKJRN (Trabajar con diario) 72WRKJRNA (Trabajar con atributos de

diario) 72WRKREGINF (Trabajar con

información de registro)programa de salida 116

WRKSBSD (Trabajar con descripciónde subsistema 123

mandato, Imprimir objetos conautorización privada(PRTPVTAUT) 138

mandato, Imprimir objetos conautorizaciones de uso público(PRTPUBAUT) 139

mandato (PRTPUBAUT), Imprimirautorización de uso público 6

mandato Crear directorio de iSeries400 142

mandato de restaurarrestricción del acceso 118

mandato de salvarrestricción del acceso 118

mandato Imprimir valores internos deperfil (PRTPRFINT) 6

mandato remotoprevención 155, 229restricción con la entrada

PGMEVOKE 155

Índice 265

marcación automática (AUTODIAL),campo 160

máximotamaño


mejoras de seguridad 9Mejoras de seguridad para la V4R1 9Mejoras de seguridad para la V4R2 7Mejoras de seguridad para la V4R5 4Mejoras de seguridad para la V5R1 3mensaje

CPF1107 35CPF1120 35CPF2234 185programa de salida 114

mensaje CPF2234 185mensaje del sistema (QSYSMSG), cola de

mensajesfuente del programa de salida de

ejemplo 233utilización sugerida 130

menúherramientas de seguridad 42

menú inicial (INLMNU), parámetro 83Métodos que utiliza el sistema para

enviar información sobre unusuario 150

modalidadentrada de comunicaciones 152

NNAT (conversión de direcciones de

red) 7Navegadores, consideraciones sobre

seguridad 239nivel de auditoría (QAUDLVL), valor del

sistemacambio 44visualización 44

nivel de columna, autorizaciones paraarchivos de base de datos 7

nivel de contraseñaconfirmación 98

nivel de seguridad (QSECURITY), valordel sistema

descripción 13valor establecido por el mandato

CFGSYSSEC 53nivel de seguridad 10

autorización sobre objeto 59migrar desde 59

nivel de seguridad 20autorización sobre objeto 59migrar desde 59

niveles de contraseñacambio 27, 28, 30, 31definición 26introducción 26planificación 27

nombres de programas de transaccióncon arquitectura

lista suministrada por IBM 128nombres de programas de transacciones

con arquitecturaconsejos de seguridad 127

Nuevos objetos, seguridad 141número máximo de intentos de inicio de

sesión (QMAXSIGN), valor del sistemaFTP (protocolo de transferencia de

archivos) 184TELNET 179valor establecido por el mandato


Oobjeto

alteradocomprobación 67, 68

gestión de autorización sobre unonuevo 74

impresiónautorización adoptada 48no IBM 48origen de autorización 48

origen de autorizaciónimpresión de lista 75

objeto, autorización 67objeto de usuario

en bibliotecas protegidas 118objeto nuevo

gestión de autorización 74objetos, propiedad 64Objetos, seguridad para nuevos 141objetos con autorización privada

(PRTPVTAUT), mandato, Imprimir 138objetos con autorizaciones de uso público

(PRTPUBAUT), mandato,Imprimir 139

ODBC (conectividad de base de datosabierta)

control de acceso 226fuente del programa de salida de

ejemplo 233ofertas de servicio 253operación de compromiso

programa de salida 114operación de retrotracción

programa de salida 114Operations Navigator, administración de

aplicaciones 6Operations Navigator, seguridad 225

Ppágina separadora

programa de salida 114pantalla Visualizar usuarios autorizados

(DSPAUTUSR) 65paquetes, Protocolo Internet (IP), filtrado

de 7, 168parasitismo 158particiones lógicas 100PC (personal computer)

autorización sobre objeto 222cifrado de contraseñas 227control del acceso a datos 221evitar virus en PC 221ignorar inicio de sesión 228implicaciones de seguridad 221

PC (personal computer) (continuación)implicaciones del sistema de archivos

integrado 222métodos de acceso a datos 221protección de mandatos remotos 229restringir mandatos remotos 229servidores de pasarela 230transferencia de archivos 221virus en PC 221

PCSACC (acceso de petición de cliente),atributo de red




perfilanálisis con consulta 65usuario 65

gran tamaño, examen 66listado de inactivos 66listado de usuarios con

autorizaciones especiales 66listado de usuarios con posibilidad

de mandatos 66listado seleccionados 66

perfil de dispositivo de herramientas deservicio

atributosconsola 105

cambio de contraseña 105contraseña 105contraseña por omisión 105protección 106

perfil de grupointroducción 15

perfil de usuarioactivos permanentemente, lista

cambio 43análisis

por autorizaciones especiales 48por clases de usuario 48

análisis con consulta 65asignación para trabajo APPC 152auditoría

usuarios autorizados 65autorizaciones especiales con

discrepancia y clase de usuario 83comprobación de la contraseña por

omisión 43contraseña por omisión 38control de acceso a menús 60eliminación automática 38eliminación de inactivos 37estado inhabilitado (*DISABLED) 38gran tamaño, examen 66impedir la inhabilitación 37impresión 66

autorizaciones especiales 82entorno 84

inhabilitaciónautomática 37

introducción 15listado

inactivo 66seleccionados 66


perfil de usuario (continuación)usuarios con autorizaciones

especiales 66usuarios con posibilidad de

mandatos 66planificación de activación 36planificación de caducidad 38planificación de desactivación 36proceso inactivo 37supervisión 121supervisión de autorizaciones

especiales 82supervisión de clases de usuario 83supervisión de valores de entorno 83visualización de planificación de

caducidad 38perfil de usuario (RSTUSRPRF) mandato,

Restaurar 6perfil de usuario de gran tamaño 66perfil proporcionado por IBM

cambio de contraseña 31perfiles de dispositivo de herramientas de

servicio 92atributos

cambiar valores por omisión 92otorgar 93restablecer valores por

omisión 93revocar 93

autenticación 91cambio 93

descripción 93características

descripción 92frase de paso 92

Consola de operaciones conconectividad LAN 91

contraseñaresincronizar el PC y el iSeries 92restablecer 92

creación 92habilitación 94inhabilitación 94número máximo 91privilegios

otorgar 92privilegios funcionales 91restablecer contraseña 92supresión 93utilización 91visualización

atributos 93estado 93

perfiles de usuario de herramientas deservicio

11111111perfil de usuario 87

22222222perfil de usuario 87

cambio 89cambio de contraseña 89cambio de descripción 90características

contraseña 88descripción 88fecha de caducidad 88frase de paso 88

perfiles de usuario de herramientas deservicio (continuación)

características (continuación)ID de usuario 88lista de privilegios funcionales 88

creación 88gestión de DST 84habilitación 91inhabilitación 91número máximo 87otorgar 89perfiles de usuario de herramientas de

servicio (DST) 84QSECOFR

perfil de usuario 87QSRV

perfil de usuario 87revocar 89supresión 90utilización 87visualización 90visualización de privilegios

funcionales 90permitir inicio de sesión remoto

(QRMTSIGN), valor del sistemaefecto del valor *FRCSIGNON 150fuente del programa de salida de

ejemplo 233utilización de programa de

salida 114valor establecido por el mandato

CFGSYSSEC 53permitir restauración de objeto

(QALWOBJRST), valor del sistemautilización sugerida 118valor establecido por el mandato

CFGSYSSEC 53personalización

valores de seguridad 52planificación

informes de seguridad 46perfil de usuario

activación 36, 43caducidad 38, 43desactivación 36

planificación de cambios de nivel decontraseña

aumento del nivel de contraseña 27,28

cambio del nivel de contraseña de 1 a0 31






cambios de nivel de contraseñaplanificación de cambios de

nivel 27, 28cambios de nivel de contraseña (de 0

a 1) 27

planificación de cambios de nivel decontraseña (continuación)

cambios de nivel de contraseña (de 0a 2) 28



disminución de niveles decontraseña 30, 31

QPWDLVL, cambios 27, 28planificador de trabajos

evaluación de programas 117POP (Protocolo de Oficina Postal)


posibilidad de APPN (ANN),parámetro 158

posibilidad de mandatoslistado de usuarios 66

posibilidad de restaurarcontrol 117supervisión 108

posibilidad de salvarcontrol 117supervisión 108

PREESTSSN (sesión preestablecida),parámetro 158

prevenciónentrada TCP/IP 167

procedimiento almacenadocomo herramienta de seguridad 226

programaadoptar autorización

auditoría 68forzar creación 108oculto

comprobación de 114planificado

evaluación 117programa de atención

impresión de perfiles de usuario 83programa de salida 114

programa de detección de virus 108programa de salida

acceso de petición DDM (DDMACC),atributo de red 114, 233

acceso de petición de cliente(PCSACC), atributo de red 114, 233

API QHFRGFS 114API QTNADDCR 114cambiar descripción de mensaje

(mandato CHGMSGD) 114conectividad de base de datos abierta

(ODBC) 233crear carga de producto (mandato

CRTPRDLOD) 114descripción de dispositivo de

impresora 114descripción de mensaje 114evaluación 114fuentes 233función de registro 116funciones del sistema de

archivos 114

Índice 267

programa de salida (continuación)limpieza automática

(QEZUSRCLNP) 114lista de copia de seguridad (mandato

CHGBCKUP) 114mandato RCVJRNE 114operación de compromiso 114operación de retrotracción 114páginas separadoras 114permitir inicio de sesión remoto

(QRMTSIGN), valor delsistema 114, 233

programa de atención 114programa de validación de contraseña

(QPWDVLDPGM), valor delsistema 114, 233

programa QUSCLSXT 114QATNPGM (programa de atención),

valor del sistema 114recibir entradas de diario 114recogida de rendimiento 114selección de formato 114selección de formato de archivo

lógico 114SETATNPGM (Establecer programa de

atención), mandato 114STREML3270 (Arrancar emulación de

pantalla 3270), mandato 114tecla de función de emulación

3270 114TRCJOB (Rastrear trabajo),

mandato 114uso del archivo de base de datos 114

programa de salida QEZUSRCLNP 114programa de selección de formato de

registro (FMTSLR), parámetro 114programa de validación de contraseña

(QPWDVLDPGM), valor del sistemafuente del programa de salida de


salida 114programa desencadenante

evaluación del uso 114impresión de lista 114listado 48supervisión de utilización 113

programa inicial (INLPGM),parámetro 83

programa ocultocomprobación de 114

programa QUSCLSXT 114Programas de salida de seguridad,

uso 233programas que adoptan

visualización 68programas que adoptan autorización

limitación 110supervisión de utilización 109

Programas sospechosos, detección 107propiedad de objetos 64protección

aplicaciones de puerto deTCP/IP 170

contra los virus informáticos 107

protección de integridadnivel de seguridad (QSECURITY)

40 13protección de integridad mejorada

nivel de seguridad (QSECURITY)50 14

proteger ubicación (SECURELOC),parámetro 157

*VFYENCPWD (verificar contraseñacifrada), valor 151, 157

descripción 151diagrama 148

Protocolo Bootstrap (BOOTP)consejos de seguridad 186restricción de puerto 186

Protocolo de configuración dinámica desistema principal (DHCP)


Protocolo de Línea de Interfaz Serie(SLIP)

control 172descripción 172seguridad de marcación 175seguridad de marcación de

entrada 173Protocolo de Oficina Postal (POP)


protocolo de transferencia de archivos(FTP)

contraseñas no cifradas 184evitar autoarranque del servidor 183fuente del programa de salida de


intentos de inicio de sesión), valordel sistema 184


lotes 185Protocolo de Transferencia de Hipertexto

(HTTP)restricción de puerto 213

Protocolo Internet (IP), filtrado depaquetes 7

Protocolo punto a punto (PPP) 8protocolo simple de gestión de red

(SNMP)consejos de seguridad 216, 217evitar autoarranque del servidor 216restricción de puerto 216

Protocolo simple de gestión de red(SNMP) 216

protocolo simple de transferencia decorreo (SMTP)

consejos de seguridad 194descripción 194evitar autoarranque del servidor 194inundación 195restricción de puerto 194

protocolo trivial de transferencia dearchivos (TFTP)


PRTADPOBJ (Imprimir objetos queadoptan), mandato


PRTCMNSEC (Imprimir seguridad decomunicaciones), mandato


PRTJOBDAUT (Imprimir autorización dedescripción de trabajo), mandato


PRTPUBAUT (Imprimir objetos conautorización de uso público), mandato


PRTPVTAUT (Imprimir autorizacionesprivadas), mandato


PRTQAUT (Imprimir autorización decola), mandato


PRTSBSDAUT (Imprimir descripción desubsistema), mandato


PRTSYSSECA (Imprimir atributos deseguridad del sistema), mandato


PRTTRGPGM (Imprimir programasdesencadenantes), mandato


PRTUSROBJ (Imprimir objetos deusuario), mandato


PRTUSRPRF (Imprimir perfil de usuario),mandato

autorizaciones especiales, ejemplo 82descripción 48discrepancias, ejemplo 83información de contraseña 37, 39información del entorno, ejemplo 84

publicacionesrelacionadas 255

puesta a puntoauditoría de seguridad 44

Puesta de contraseñas en antememoriapara clientes Windows 95 8

punto a punto (PPP), protocoloconsideraciones sobre seguridad 176

puntos de salida TCP/IP 10puntos de salida TELNET 7puntos de salida V4R2, TELNET 7

QQALWOBJRST 5


QALWOBJRST (permitir restauración deobjeto), valor del sistema

utilización sugerida 118valor establecido por el mandato

CFGSYSSEC 53QAUDCTL (control de auditoría), valor

del sistemacambio 44visualización 44

QAUDJRN, diario de auditoríacambio del receptor 72dañado 70desconexión del receptor 70, 72entradas del sistema 70gestión 69limpieza automática 70umbral de almacenamiento de

receptor 70QAUDLVL (nivel de auditoría), valor del

sistemacambio 44visualización 44

QAUTOCFG (configuración automática),valor del sistema


valor recomendado 34QAUTOVRT (configuración automática

del dispositivo virtual), valor delsistema



QCONSOLEcontraseña por omisión 105

QDCRDEVD (Recuperar descripción dedispositivo), API 181

QDEVRCYACN (acción de recuperaciónde dispositivo), valor del sistema

evitar riesgos en la seguridad 155valor establecido por el mandato


QDSCJOBITV (intervalo de tiempo deespera de trabajo desconectado), valordel sistema


valor recomendado 34QDSPSGNINF (visualizar información de

inicio de sesión), valor del sistemavalor establecido por el mandato


QFileSvr.400, sistema de archivos 143QINACTITV (intervalo de tiempo de

espera de trabajo inactivo), valor delsistema


valor recomendado 34QINACTMSGQ (cola de mensajes de

trabajo inactivo), valor del sistemavalor establecido por el mandato


QLANSrv y QNetWare, sistemas dearchivos 143

QLMTSECOFR (responsable de seguridadde límites), valor del sistema



QMAXSGNACN (acción al llegar allímite de intentos de inicio de sesión),valor del sistema


valor recomendado 34QMAXSIGN (número máximo de

intentos de inicio de sesión)valor recomendado 34

QMAXSIGN (número máximo deintentos de inicio de sesión), valor delsistema

FTP (protocolo de transferencia dearchivos) 184


CFGSYSSEC 53QPGMR (programador), perfil de usuario

contraseña establecida con el mandatoCFGSYSSEC 54

QPWDEXPITV (intervalo de caducidadde contraseña), valor del sistema


valor recomendado 25QPWDLMTAJC (restricción de caracteres

adyacentes en contraseña), valor delsistema


valor recomendado 25QPWDLMTCHR (restricción de caracteres

en contraseña), valor del sistemavalor establecido por el mandato


QPWDMAXLEN (longitud máxima decontraseña), valor del sistema


valor recomendado 25QPWDMINLEN (longitud mínima de

contraseña), valor del sistemavalor establecido por el mandato


QPWDPOSDIF (necesidad de diferenteposición en contraseña),


valor recomendado 25QPWDRQDDGT (necesidad de carácter

numérico en contraseña), valor delsistema


valor recomendado 25

QPWDRQDDIF (diferencia necesaria encontraseña), valor del sistema


valor recomendado 25QPWDVLDPGM (programa de validación

de contraseña), valor del sistemafuente del programa de salida de




QPWFSERVER 140QRETSVRSEC (Retener datos de

seguridad del servidor), valor delsistema

descripción 40utilización para la marcación de salida

de SLIP 176QRMTSIGN (inicio de sesión remoto),

valor del sistemaTELNET 181

QRMTSIGN (permitir inicio de sesiónremoto), valor del sistema

efecto del valor *FRCSIGNON 150fuente del programa de salida de



CFGSYSSEC 53QSECURITY (nivel de seguridad), valor

del sistemadescripción 13valor establecido por el mandato

CFGSYSSEC 53QSRV (servicio), perfil de usuario


QSRVBAS (servicio básico), perfil deusuario


QSYS.LIB, sistema de archivos, restriccióndel acceso 140

QSYS38 (Sistema/38), bibliotecarestringir mandatos 64

QSYSCHID (Cambiar el uid) API 145QSYSLIBL (lista de bibliotecas del

sistema), valor del sistemaprotección 118

QSYSMSG (mensaje del sistema), cola demensajes


utilización sugerida 130QSYSOPR (operador del sistema), perfil

de usuariocontraseña establecida con el mandato

CFGSYSSEC 54QUSEADPAUT (utilizar autorización

adoptada), valor del sistema 112QUSER (usuario), perfil de usuario


Índice 269

QVFYOBJRST (Verificar restauración deobjeto)

valor del sistema 122QVFYOBJRST (verificar restauración de

objeto), valor del sistemautilización sugerida 118

RRaíz (/), QOpenSys y definidos por

usuario, sistemas de archivos 135Rastrear trabajo (TRCJOB), mandato

programa de salida 114RCVJRNE (Recibir entradas de diario)

programa de salida 114receptor

cambio 72desconexión 70, 72salvar 72supresión 72

receptor de diariocambio 72desconexión 70, 72gestión 70supresión 72

receptor de diario de auditoríasalvar 72supresión 72

recibir entradas de diarioprograma de salida 114

Recibir entradas de diario (RCVJRNE)programa de salida 114

recogida de rendimientoprograma de salida 114

recomendaciónvalores del sistema de contraseña 25valores del sistema de inicio de

sesión 34recuperación

diario de auditoría dañado 70red, sistema de archivos 144red (SNMP), protocolo simple de

gestión 216Red privada virtual (VPN) 5referencias, Autorización 7relacionadas, publicaciones 255responsable de seguridad de límites

(QLMTSECOFR), valor del sistemaTELNET 181valor establecido por el mandato


respuesta automática (AUTOANS),campo 160

Restaurar perfil de usuario (RSTUSRPRF),mandato 6

Restricción del acceso al sistema dearchivos QSYS.LIB 140

restringir las sesiones APPC 149Retener datos de seguridad del servidor

(QRETSVRSEC), valor del sistemadescripción 40utilización para la marcación de salida

de SLIP 176revocar

autorización de uso público 52

Revocar autorización de uso público(RVKPUBAUT), mandato

descripción 52detalles 55utilización sugerida 123

REXECD (servidor de EXECution remoto)consejos de seguridad 191restricción de puerto 191

RouteD (Daemon de ruta)consejos de seguridad 192

RUNRMTCMD (Ejecutar mandatoremoto), mandato

restringir 229RVKPUBAUT (Revocar autorización de

uso público), mandatodescripción 52detalles 55utilización sugerida 123

Ssalida registrada

evaluación 116salvar

herramientas de seguridad 42receptor de diario de auditoría 72

Salvar objeto (SAVOBJ), mandato 72SAVOBJ (Salvar objeto), mandato

salvar receptor de diario deauditoría 72

SBMJOB (Someter trabajo), mandatoSECBATCH, menú 45

SBMRMTCMD (Someter mandatoremoto), mandato

restringir 155SECBATCH (Someter informes de

proceso por lotes), menúoperación de someter informes 45planificación de informes 46

SECTOOLS (Herramientas de seguridad),menú 42

SECURE(NONE)descripción 150

SECURE(PROGRAM)descripción 150

SECURE(SAME)descripción 150

SECURELOC (proteger ubicación),parámetro 157

*VFYENCPWD (verificar contraseñacifrada), valor 151, 157

descripción 151diagrama 148

SecureWay 253SECURITY(NONE)

con el valor *FRCSIGNON para elvalor del sistema QRMTSIGN 150

seguridadcomunicaciones TCP/IP 167herramientas de seguridad 41

seguridad, auditoríasugerencias para la utilización

auditoría de objetos 167CP (Cambiar perfil), entrada de

diario 36, 37entrada de diario SV (valor del

sistema) 118

seguridad, auditoría (continuación)sugerencias para la utilización

(continuación)nivel de auditoría *PGMADP 110valor *PGMFAIL 108valor *SAVRST 108valor *SECURITY 108visión general 130

seguridad, auditoría de funciones de 64seguridad, iSeries 400 Asesor 23seguridad, iSeries 400 Asistente 21seguridad, Mejoras para la V4R1 9Seguridad, método del Sistema de

archivos integrado 133seguridad, particiones lógicas 100Seguridad, uso de programas de

salida 233seguridad C2

descripción 247seguridad de bibliotecas 63seguridad de inicio de sesión

definición 13seguridad de instalación del sistema

operativocambio 96no protegido 96protegido 96

seguridad de las comunicacionesAPPC 147

Seguridad de los directorios 141seguridad de menú’.control de acceso a

menúscomplementar con autorización sobre

objetos 61descripción 60entorno de transición 61limitaciones 60parámetros de perfil de usuario 60

seguridad de recursosacceso limitado

introducción 16definición 13

Seguridad en LP 99seguridad física 121Seguridad para los sistemas de archivos

raíz (/), QOpenSys y los definidos porel usuario 137

Seguridad para nuevos objetos 141seguridad por recursos

introducción 15Seguridad y Operations Navigator 225Server, Internet Connection 9Service Tools Server (STS)

configuraciónDST 85OS/400 86

DST (herramientas de servicio) 85gestión de disco 85parámetros 86particiones lógicas 85, 100tabla de servicios

configuración 86Servicios de revisión de seguridad 253servidor

definición 147servidor de EXECution remoto (REXECD)

consejos de seguridad 191


servidor de EXECution remoto(REXECD) (continuación)

restricción de puerto 191servidor de pasarela

elementos de seguridad 230Servidor HTTP para iSeries 400 4, 7Servidor proxy HTTP 7Servlets Java 236Sesión APPC, conceptos básicos 148sesión preestablecida (PREESTSSN),

parámetro 158sesiones APPC, restricción 149sesiones de punto de control (CPSSN),

parámetro 159SETATNPGM (Establecer programa de

atención), mandatoprograma de salida 114

Sistema/38 (QSYS38), bibliotecarestringir mandatos 64

sistema basado en objetosimplicaciones de seguridad 59protección contra los virus

informáticos 107sistema cliente

definición 147sistema de archivos, QFileSvr.400 143Sistema de archivos, restricción del acceso

a QSYS.LIB 140sistema de archivos de red 144sistema de archivos integrado

implicaciones de seguridad 222Sistema de archivos integrado 133Sistema de archivos integrado,

seguridad 133sistema de destino

definición 147sistema de nombres de dominio (DNS)


sistema de origendefinición 147

sistema localdefinición 147

sistema remotodefinición 147

sistemas de archivos, QLANSrv yQNetWare 143

Sistemas de archivos, seguridad para raíz(/), QOpenSys y definidos porusuario 137

Sistemas de archivos raíz (/), QOpenSysy definidos por usuario 135

sitio Web seguro 206SLIP (Protocolo de Línea de Interfaz

Serie)control 172descripción 172seguridad de marcación 175seguridad de marcación de

entrada 173SMTP (protocolo simple de transferencia

de correo)consejos de seguridad 194descripción 194evitar autoarranque del servidor 194inundación 195restricción de puerto 194

SNDJRNE (Enviar entrada de diario),mandato 69

SNGSSN (una sola sesión),parámetro 158

SNMP (protocolo simple de gestión dered)

consejos de seguridad 216, 217evitar autoarranque del servidor 216restricción de puerto 216

someterinformes de seguridad 45

Someter mandato remoto(SBMRMTCMD)

restringir 155Someter trabajo (SBMJOB), mandato

SECBATCH, menú 45soporte de gestión de cambio de diario

del sistema 70soporte de idioma nacional

autorización sobre objeto 64Soporte de servidor de archivos TCP/IP

para OS/400, programa bajolicencia 219

SSLutilización con Client Access

Express 224STRPFRMON (Arrancar supervisión del


STRTCP (Arrancar TCP/IP), mandatorestringir 167

STS (Service Tools Server)configuración

DST 85OS/400 86

DST (herramientas de servicio) 85gestión de disco 85parámetros 86particiones lógicas 85, 100tabla de servicios

configuración 86subir

autorización necesaria 223supervisión

actividad de contraseña 39actividad de inicio de sesión 39anomalía de programa 68autorización 73autorización adoptada 109, 110autorización de uso público 73autorización especial 82autorización privada 80autorización sobre objeto 67autorización sobre objetos nuevos 74colas de salida 81colas de trabajos 81descripción de subsistema 123entorno de usuario 83integridad de objetos 67, 68listas de autorizaciones 74perfil de usuario

modificaciones 121posibilidad de restaurar 108, 117posibilidad de salvar 108, 117programas desencadenantes 113programas planificados 117

supresiónreceptor de diario de auditoría 72

Suprimir receptor de diario(DLTJRNRCV), mandato 72

TTCP/IP

punto a punto (PPP), protocoloconsideraciones sobre

seguridad 176TCP/IP, puntos de salida 10TELNET

consejos de seguridad 178contraseñas no cifradas 179descripción 178evitar autoarranque del servidor 178inicio de sesión automático 181programa de salida 180QAUTOVRT (configuración

automática del dispositivo virtual),valor del sistema 179

QLMTSECOFR (responsable deseguridad de límites), valor delsistema 181

QMAXSIGN (número máximo deintentos de inicio de sesión), valordel sistema 179

QRMTSIGN (inicio de sesión remoto),valor del sistema 181

restricción de puerto 178TELNET, puntos de salida 7temporizador de desconexión,

parámetro 159TFTP (protocolo trivial de transferencia

de archivos)consejos de seguridad 189restricción de puerto 189

trabajar conatributos de diario 72

Trabajar con atributos de diario(WRKJRNA), mandato 72

Trabajar con descripción de subsistema(WRKSBSD), mandato 123

Trabajar con diario (WRKJRN),mandato 72

Trabajar con información de registro(WRKREGINF), mandato

programa de salida 116trabajo APPC

asignación de perfil de usuario 152trabajo de paso a través

inicio 153trabajo remoto

prevención 155transferencia de archivos

PC (personal computer) 221restringir 64

transferencia de archivos del Sistema/36restringir 64

TRCJOB (Rastrear trabajo), mandatoprograma de salida 114

Índice 271

Uuid

cambio 145una sola sesión (SNGSSN),

parámetro 158unidades correlacionadas, acceso a los

directorios de iSeries 400 239USEADPAUT (utilizar autorización

adoptada), parámetro 111uso del archivo

programa de salida 114usuario

trabajo APPC 150usuario, métodos que utiliza el sistema

para enviar información sobre un 150usuario (RSTUSRPRF) mandato,

Restaurar perfil de 6usuario de APPC obtiene acceso al

sistema destino 150usuario por omisión

entrada de comunicacionesvalores posibles 152

para arquitectura TPN 127usuario público

definición 73usuarios de marcación accediendo a otros

sistemas, cómo evitarlo 175Utilización de SSL con Client Access

Express 224utilizar autorización adoptada

(QUSEADPAUT), valor delsistema 112

utilizar autorización adoptada(USEADPAUT), parámetro 111

VV4R1

mejoras de seguridad 9V4R1, (ICSS), Internet Connection Secure

Server 9V4R1, Firewall para iSeries 400 9V4R1, Internet Connection Secure Server

(ICSS) 9V4R1, Internet Connection Server 9V4R1, Mejoras de seguridad para 9V4R1, Server, Internet Connection 9V4R2, (PPP), Protocolo punto a punto 8V4R2, actualización, autorización 7V4R2, autorización de actualización 7V4R2, Autorización de referencias 7V4R2, clientes Windows 95, puesta de

contraseñas en antememoria para 8V4R2, Mejoras de seguridad 7V4R2, Protocolo punto a punto (PPP) 8V4R2, Puesta de contraseñas en

antememoria para clientes Windows95 8

V4R2, puntos de salida TELNET 7V4R2, referencias, Autorización 7V4R5, Mejoras de seguridad 4V4R5, Puntos de salida, TCP/IP 10V4R5, Puntos de salida TCP/IP 10V5R1, Mejoras de seguridad 3vagar, TCP/IP

restringir 218

valor de seguridaddefinición 52

valor de validación 108valor de validación del programa 108valor del sistema

impresión relativa a la seguridad 19,48

inicio de sesiónrecomendaciones 34

introducción 14mandato para establecer 52QALWOBJRST (permitir restauración

de objeto)utilización sugerida 118valor establecido por el mandato

CFGSYSSEC 53QAUDCTL (control de auditoría)

cambio 44visualización 44

QAUDLVL (nivel de auditoría)cambio 44visualización 44

QAUTOCFG (configuraciónautomática)


valor recomendado 34QAUTOVRT (configuración

automática de dispositivo virtual)TELNET 179valor establecido por el mandato


QDEVRCYACN (acción derecuperación de dispositivo)

evitar riesgos en la seguridad 155valor establecido por el mandato


QDSCJOBITV (intervalo de tiempo deespera de trabajo desconectado)


valor recomendado 34QDSPSGNINF (visualizar información

de inicio de sesión)valor establecido por el mandato


QINACTITV (intervalo de tiempo deespera de trabajo inactivo)


valor recomendado 34QINACTMSGQ (cola de mensajes de

trabajo inactivo)valor establecido por el mandato


QLMTSECOFR (responsable deseguridad de límites)



valor del sistema (continuación)QMAXSGNACN (acción al llegar al

límite de intentos de inicio desesión)


QMAXSIGN (número máximo deintentos de inicio de sesión)

FTP (protocolo de transferencia dearchivos) 184



QPWDEXPITV (intervalo decaducidad de contraseña)


valor recomendado 25QPWDLMTAJC (restricción de

caracteres adyacentes en contraseña)valor establecido por el mandato


QPWDLMTCHR (restricción decaracteres en contraseña)


valor recomendado 25QPWDLMTREP (límite de caracteres

repetidos en contraseña)valor establecido por el mandato


QPWDLMTREP (necesidad dediferente posición en contraseña)


valor recomendado 25QPWDLVL (nivel de contraseña)

valor recomendado 25QPWDMAXLEN (longitud máxima de

contraseña)valor establecido por el mandato


QPWDMINLEN (longitud mínima decontraseña)


valor recomendado 25QPWDRQDDGT (necesidad de

carácter numérico en contraseña)valor establecido por el mandato


QPWDRQDDIF (diferencia necesariaen contraseña)


valor recomendado 25QPWDVLDPGM (programa de

validación de contraseña)fuente del programa de salida de


salida 114


valor del sistema (continuación)valor establecido por el mandato


QRETSVRSEC (Retener datos deseguridad del servidor)

utilización para la marcación desalida de SLIP 176

QRMTSIGN (inicio de sesión remoto)TELNET 181

QRMTSIGN (permitir inicio de sesiónremoto)

efecto del valor*FRCSIGNON 150




QSECURITY (nivel de seguridad)descripción 13valor establecido por el mandato

CFGSYSSEC 53QSYSLIBL (lista de bibliotecas del

sistema)protección 118

QUSEADPAUT (utilizar autorizaciónadoptada) 112

Retener datos de seguridad delservidor (QRETSVRSEC)

descripción 40seguridad

definición 52valores de seguridad con arquitectura



valores globales 14verificar contraseña cifrada

(*VFYENCPWD), valor 151, 157verifificar restauración de objeto

(QVFYOBJRST), valor del sistemautilización sugerida 118

virusdefinición 107detección 67, 68detección de 108exploración 67, 68mecanismos de protección del

iSeries 108protección contra 107

virus informáticodefinición 107detección de 108mecanismos de protección del

iSeries 108protección contra 107

visualizaciónauditoría de seguridad 44autorización sobre objeto 67miembros de perfil de grupo 62perfil de usuario

autorizaciones privadas 127lista de perfiles activos 43planificación de activación 43

visualización (continuación)perfil de usuario (continuación)

planificación de caducidad 43programas que adoptan 68QAUDCTL (control de auditoría),

valor del sistema 44QAUDLVL (nivel de auditoría), valor

del sistema 44usuarios autorizados 65

Visualizar auditoría de seguridad(DSPSECAUD), mandato

descripción 44Visualizar autorización sobre objeto

(DSPOBJAUT), mandato 67Visualizar biblioteca (DSPLIB),

mandato 67Visualizar descripción de objeto

(DSPOBJD), mandatouso de archivo de salida 66

Visualizar entradas de diario de auditoría(DSPAUDJRNE), mandato


visualizar información de inicio de sesión(QDSPSGNINF), valor del sistema


valor recomendado 34Visualizar Pantalla de descripción de

subsistema 124Visualizar perfil de usuario

(DSPUSRPRF), mandatouso de archivo de salida 66

Visualizar planificación de activación(DSPACTSCD), mandato

descripción 43Visualizar planificación de caducidad

(DSPEXPSCD), mandatodescripción 43utilización sugerida 38

Visualizar programas que adoptan(DSPPGMADP), mandato

auditoría 68Visualizar usuarios autorizados

(DSPAUTUSR), mandatoauditoría 65

VPN en el IBM Firewall para iSeries400 7

WWorkstation Gateway Server (WSG)


WRKJRN (Trabajar con diario), mandatoutilización 72

WRKJRNA (Trabajar con atributos dediario), mandato

utilización 72WRKREGINF (Trabajar con información

de registro), mandatoprograma de salida 116

WRKSBSD (Trabajar con descripción desubsistema), mandato 123

WSG (Workstation Gateway Server)consejos de seguridad 212

WSG (Workstation Gateway Server)(continuación)

descripción 212evitar autoarranque del servidor 213

Índice 273

Hoja de Comentarios

iSeriesConsejos y herramientas para la seguridad del iSeriesVersión 5

Número de Publicación SC10-3122-05

Por favor, sírvase facilitarnos su opinión sobre esta publicación, tanto a nivel general (organización, contenido,utilidad, facilidad de lectura,...) como a nivel específico (errores u omisiones concretos). Tenga en cuenta que loscomentarios que nos envíe deben estar relacionados exclusivamente con la información contenida en este manualy a la forma de presentación de ésta.

Para realizar consultas técnicas o solicitar información acerca de productos y precios, por favor diríjase a susucursal de IBM, business partner de IBM o concesionario autorizado.

Para preguntas de tipo general, llame a ″IBM Responde″ (número de teléfono 901 300 000).

Al enviar comentarios a IBM, se garantiza a IBM el derecho no exclusivo de utilizar o distribuir dichoscomentarios en la forma que considere apropiada sin incurrir por ello en ninguna obligación con el remitente.

Comentarios:

Gracias por su colaboración.

Para enviar sus comentarios:v Envíelos por correo a la dirección indicada en el reverso.v Envíelos por fax al número siguiente: España Desde España: (93) 321 61 34

Si desea obtener respuesta de IBM, rellene la información siguiente:

Nombre Dirección

Compañía

Número de teléfono Dirección de e-mail

Hoja de ComentariosSC10-3122-05

SC10-3122-05

IBM

IBM S.A.National Language Solutions CenterAv. Diagonal, 57108029 BarcelonaEspaña

IBM

Printed in Denmark by IBM Danmark A/S

SC10-3122-05

Consejos y Herramientas Para Asegurar El Sistema ISeries

Documents

Transcript of Consejos y Herramientas Para Asegurar El Sistema ISeries